Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Altium Live (CVE-2026-1008)
Fecha de publicación:
15/01/2026
Idioma:
Español
Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en los campos de texto del perfil de usuario de Altium 365. Una sanitización de entrada insuficiente por parte del servidor permite a los usuarios autenticados inyectar cargas útiles arbitrarias de HTML y JavaScript utilizando técnicas de omisión de análisis de atributos basadas en espacios en blanco.<br /> La carga útil inyectada se persiste y se ejecuta cuando otros usuarios ven la página de perfil afectada, lo que podría permitir el robo de tokens de sesión, ataques de phishing o redirecciones maliciosas. La explotación requiere una cuenta autenticada e interacción del usuario para ver el perfil manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en lakeFS de treeverse (CVE-2025-68671)
Fecha de publicación:
15/01/2026
Idioma:
Español
lakeFS es una herramienta de código abierto que transforma el almacenamiento de objetos en repositorios tipo Git. El gateway S3 de lakeFS no valida las marcas de tiempo en las solicitudes autenticadas, lo que permite ataques de repetición. Antes de la 1.75.0, un atacante que captura una solicitud firmada válida (por ejemplo, mediante intercepción de red, registros o sistemas comprometidos) puede repetir esa solicitud hasta que las credenciales sean rotadas, incluso después de que la solicitud esté destinada a expirar. Esta vulnerabilidad está corregida en la 1.75.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en glibc de The GNU C Library (CVE-2026-0915)
Fecha de publicación:
15/01/2026
Idioma:
Español
Llamar a getnetbyaddr o getnetbyaddr_r con un nsswitch.conf configurado que especifica el backend DNS de la biblioteca para redes y consulta una red con valor cero en la GNU C Library versión 2.0 hasta la versión 2.42 puede filtrar el contenido de la pila al resolvedor DNS configurado.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en Mitel MiContact Center Business (CVE-2025-67823)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad en el componente de Correo Electrónico Multimedia de Mitel MiContact Center Business hasta la versión 10.2.0.10 y Mitel CX hasta la versión 1.1.0.1 podría permitir a un atacante no autenticado realizar un ataque de Cross-Site Scripting (XSS) debido a una validación de entrada insuficiente. Un exploit exitoso requiere interacción del usuario donde el canal de correo electrónico está habilitado. Esto podría permitir a un atacante ejecutar scripts arbitrarios en el navegador de la víctima o en la aplicación de cliente de escritorio.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en T+ de Changjetong Information Technology Co., Ltd. (CVE-2023-7334)
Fecha de publicación:
15/01/2026
Idioma:
Español
Las versiones de Changjetong T+ hasta la 16.x inclusive contienen una vulnerabilidad de deserialización de .NET en un endpoint de AjaxPro que puede conducir a la ejecución remota de código. Un atacante remoto puede enviar una solicitud manipulada a /tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx?method=GetStoreWarehouseByStore con un cuerpo JSON malicioso que aprovecha la deserialización de tipos .NET controlados por el atacante para invocar métodos arbitrarios como System.Diagnostics.Process.Start. Esto puede resultar en la ejecución de comandos arbitrarios en el contexto de la cuenta de servicio de la aplicación T+. La Shadowserver Foundation observó evidencia de explotación tan pronto como el 19 de agosto de 2023 (UTC).
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/01/2026

Vulnerabilidad en Provisioning Manager de Mitel MiVoice MX-ONE (CVE-2025-67822)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad en el componente Provisioning Manager de Mitel MiVoice MX-ONE 7.3 (7.3.0.0.50) hasta 7.8 SP1 (7.8.1.0.14) podría permitir a un atacante no autenticado realizar un ataque de omisión de autenticación debido a mecanismos de autenticación inadecuados. Un exploit exitoso podría permitir a un atacante obtener acceso no autorizado a cuentas de usuario o de administrador en el sistema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2026

Vulnerabilidad en plugin de WordPress Uploadify (CVE-2011-10041)
Fecha de publicación:
15/01/2026
Idioma:
Español
Las versiones del plugin de WordPress Uploadify hasta la 1.0 inclusive contienen una vulnerabilidad de carga arbitraria de archivos en process_upload.php debido a la falta de validación del tipo de archivo. Un atacante remoto no autenticado puede cargar archivos arbitrarios al sitio de WordPress afectado, lo que puede permitir la ejecución remota de código al cargar contenido ejecutable a una ubicación accesible por la web.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Junos OS de Juniper Networks (CVE-2026-21918)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad de doble liberación en el demonio de procesamiento de flujo (flowd) de Juniper Networks Junos OS en las series SRX y MX permite a un atacante no autenticado y basado en red causar una Denegación de Servicio (DoS). En todas las plataformas de las series SRX y MX, cuando durante el establecimiento de una sesión TCP se encuentra una secuencia específica de paquetes, ocurre una doble liberación. Esto provoca que flowd se bloquee y que el FPC respectivo se reinicie.<br /> <br /> Este problema afecta a Junos OS en las series SRX y MX:<br /> <br /> * todas las versiones anteriores a 22.4R3-S7,<br /> * versiones 23.2 anteriores a 23.2R2-S3,<br /> * versiones 23.4 anteriores a 23.4R2-S4,<br /> * versiones 24.2 anteriores a 24.2R2.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en Junos OS de Juniper Networks (CVE-2026-21920)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad de valor de retorno no verificado en el módulo DNS de Juniper Networks Junos OS en la serie SRX permite a un atacante no autenticado y basado en la red causar una denegación de servicio (DoS).<br /> <br /> Si un dispositivo de la serie SRX configurado para el procesamiento de DNS recibe una solicitud DNS específicamente formateada, flowd se bloqueará y reiniciará, lo que causa una interrupción del servicio hasta que el proceso se haya recuperado.<br /> <br /> Este problema afecta a Junos OS en la serie SRX:<br /> <br /> * versiones 23.4 anteriores a 23.4R2-S5,<br /> * versiones 24.2 anteriores a 24.2R2-S1,<br /> * versiones 24.4 anteriores a 24.4R2.<br /> <br /> Este problema no afecta a las versiones de Junos OS anteriores a 23.4R1.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en Junos OS y Junos OS Evolved de Juniper (CVE-2026-21921)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad de Uso Después de Liberar en el demonio de chasis (chassisd) de Juniper Networks Junos OS y Junos OS Evolved permite a un atacante basado en red autenticado con bajos privilegios causar una Denegación de Servicio (DoS).<br /> <br /> Cuando los recolectores de telemetría se suscriben y anulan la suscripción a sensores frecuentemente y de forma continua durante un largo período de tiempo, los procesos con capacidad de telemetría como chassisd, rpd o mib2d se bloquearán y reiniciarán, lo cual - dependiendo del proceso - puede causar una interrupción completa hasta que el sistema se haya recuperado.<br /> <br /> Este problema afecta:<br /> <br /> Junos OS:<br /> <br /> * todas las versiones anteriores a 22.4R3-S8,<br /> * versiones 23.2 anteriores a 23.2R2-S5,<br /> * versiones 23.4 anteriores a 23.4R2;<br /> <br /> Junos OS Evolved:<br /> <br /> * todas las versiones anteriores a 22.4R3-S8-EVO,<br /> * versiones 23.2 anteriores a 23.2R2-S5-EVO,<br /> * versiones 23.4 anteriores a 23.4R2-EVO.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en Junos OS Evolved de Juniper Networks (CVE-2026-21911)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad de cálculo incorrecto en el demonio del protocolo de control de capa 2 (l2cpd) de Juniper Networks Junos OS Evolved permite a un atacante adyacente a la red no autenticado que alterna la interfaz de gestión detener el aprendizaje de nuevas MAC a través de interfaces conmutadas por etiquetas (LSI) mientras genera una inundación de registros, lo que resulta en un alto uso de la CPU.<br /> <br /> Cuando se observa el problema, se generará el siguiente mensaje de registro:<br /> <br /> op:1 flag:0x6 mac:xx:xx:xx:xx:xx:xx bd:2 ifl:13302 reason:0(REASON_NONE) i-op:6(INTRNL_OP_HW_FORCE_DELETE) status:10 lstatus:10 err:26(GETIFBD_VALIDATE_FAILED) err-reason 4(IFBD_VALIDATE_FAIL_EPOCH_MISMATCH) hw_wr:0x4 ctxsync:0 fwdsync:0 rtt-id:51 p_ifl:0 fwd_nh:0 svlbnh:0 event:- smask:0x100000000 dmask:0x0 mplsmask 0x1 act:0x5800 extf:0x0 pfe-id 0 hw-notif-ifl 13302 programmed-ifl 4294967295 pseudo-vtep underlay-ifl-idx 0 stack:GET_MAC, ALLOCATE_MAC, GET_IFL, GET_IFF, GET_IFBD, STOP,<br /> <br /> Este problema afecta a Junos OS Evolved:<br /> <br /> * todas las versiones anteriores a 21.4R3-S7-EVO,<br /> * desde 22.2 anteriores a 22.2R3-S4-EVO,<br /> * desde 22.3 anteriores a 22.3R3-S3-EVO,<br /> * desde 22.4 anteriores a 22.4R3-S2-EVO,<br /> * desde 23.2 anteriores a 23.2R2-S1-EVO,<br /> * desde 23.4 anteriores a 23.4R1-S2-EVO, 23.4R2-EVO.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en Junos OS de Juniper Networks (CVE-2026-21912)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad de condición de carrera (TOCTOU) de tiempo de verificación y tiempo de uso en el método para recopilar estadísticas de firmware Ethernet FPC de Juniper Networks Junos OS en la serie MX10k permite a un atacante local con pocos privilegios que ejecuta el comando CLI &amp;#39;show system firmware&amp;#39; causar que una tarjeta de línea LC480 o LC2101 se reinicie.<br /> <br /> En sistemas de la serie MX10k con tarjetas de línea LC480 o LC2101, la ejecución repetida del comando CLI &amp;#39;show system firmware&amp;#39; puede causar que la tarjeta de línea falle y se reinicie. Además, algún tiempo después de que la tarjeta de línea falle, chassisd también puede fallar y reiniciarse, generando un volcado de memoria. Este problema afecta a Junos OS en la serie MX10k:<br /> <br /> * todas las versiones anteriores a 21.2R3-S10,<br /> * desde 21.4 anteriores a 21.4R3-S9,<br /> * desde 22.2 anteriores a 22.2R3-S7,<br /> * desde 22.4 anteriores a 22.4R3-S6,<br /> * desde 23.2 anteriores a 23.2R2-S2,<br /> * desde 23.4 anteriores a 23.4R2-S3,<br /> * desde 24.2 anteriores a 24.2R2.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/02/2026
Suscribirse a Vulnerabilidades