Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Newgen OmniApp (CVE-2025-69908)
Fecha de publicación:
23/01/2026
Idioma:
Español
Una vulnerabilidad de revelación de información no autenticada en Newgen OmniApp permite a los atacantes enumerar nombres de usuario válidos con grandes privilegios a través de un recurso JavaScript del lado del cliente de acceso público.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2026

Vulnerabilidad en Linux (CVE-2025-71158)
Fecha de publicación:
23/01/2026
Idioma:
Español
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> gpio: mpsse: asegurar que el worker se desmonte<br /> <br /> Cuando un worker IRQ está en ejecución, desenchufar el dispositivo causaría un fallo. El hardware sealevel para el que se escribió este controlador no era hotpluggable, así que nunca me di cuenta.<br /> <br /> Este cambio utiliza un spinlock para proteger una lista de workers, la cual desmonta al desconectar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Linux (CVE-2025-71159)
Fecha de publicación:
23/01/2026
Idioma:
Español
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> btrfs: soluciona la advertencia de uso después de liberación en btrfs_get_or_create_delayed_node()<br /> <br /> Anteriormente, btrfs_get_or_create_delayed_node() establecía el refcount del delayed_node antes de adquirir el bloqueo root-&amp;gt;delayed_nodes. El commit e8513c012de7 (&amp;#39;btrfs: implementa ref_tracker para delayed_nodes&amp;#39;) movió refcount_set dentro de la sección crítica, lo que significa que ya no hay una barrera de memoria entre el establecimiento del refcount y el establecimiento de btrfs_inode-&amp;gt;delayed_node.<br /> <br /> Sin esa barrera, los almacenamientos en node-&amp;gt;refs y btrfs_inode-&amp;gt;delayed_node pueden volverse visibles fuera de orden. Otro hilo puede entonces leer btrfs_inode-&amp;gt;delayed_node e intentar incrementar un refcount que aún no ha sido establecido, lo que lleva a un error de refcounting y a una advertencia de uso después de liberación.<br /> <br /> La solución es mover refcount_set de vuelta a donde estaba para aprovechar la barrera de memoria implícita proporcionada por la adquisición del bloqueo.<br /> <br /> Debido a que las asignaciones ahora ocurren fuera de la sección crítica del bloqueo, pueden usar GFP_NOFS en lugar de GFP_ATOMIC.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en Free5gc NRF (CVE-2025-66719)
Fecha de publicación:
23/01/2026
Idioma:
Español
Se descubrió un problema en Free5gc NRF 1.4.0. En la lógica de generación de tokens de acceso de free5GC, la función AccessTokenScopeCheck() en el archivo internal/sbi/processor/access_token.go omite toda la validación de alcance cuando el atacante utiliza un valor targetNF manipulado. Esto permite a los atacantes obtener un token de acceso con cualquier alcance arbitrario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/02/2026

Vulnerabilidad en Ultimate Reviews de Rustaurius (CVE-2026-24634)
Fecha de publicación:
23/01/2026
Idioma:
Español
Vulnerabilidad de elusión de autorización a través de clave controlada por el usuario en Rustaurius Ultimate Reviews ultimate-reviews permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Ultimate Reviews: desde n/a hasta &amp;lt;= 3.2.16.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en EduBlink Core de DevsBlink (CVE-2026-24635)
Fecha de publicación:
23/01/2026
Idioma:
Español
Control inadecuado del nombre de fichero para la declaración Include/Require en el programa PHP, la vulnerabilidad de &amp;#39;inclusión remota de ficheros PHP&amp;#39; en DevsBlink EduBlink Core edublink-core permite la inclusión local de ficheros PHP. Este problema afecta a EduBlink Core: desde n/a hasta &amp;lt;= 2.0.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Sugar Calendar (Lite) de Syed Balkhi (CVE-2026-24636)
Fecha de publicación:
23/01/2026
Idioma:
Español
Vulnerabilidad de Autorización Faltante en Syed Balkhi Sugar Calendar (Lite) sugar-calendar-lite permite Explotar Niveles de Seguridad de Control de Acceso Incorrectamente Configurados. Este problema afecta a Sugar Calendar (Lite): desde n/a hasta &amp;lt;= 3.10.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en Web Accessibility with Max Access de Ability, Inc (CVE-2026-24629)
Fecha de publicación:
23/01/2026
Idioma:
Español
Vulnerabilidad de &amp;#39;cross-site scripting&amp;#39; por Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web en Ability, Inc Web Accessibility with Max Access accessibility-toolbar permite XSS Almacenado. Este problema afecta a Web Accessibility with Max Access: desde n/a hasta &amp;lt;= 2.1.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Delay Redirects de jagdish1o1 (CVE-2026-24632)
Fecha de publicación:
23/01/2026
Idioma:
Español
Vulnerabilidad de Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web (&amp;#39;cross-site scripting&amp;#39;) en jagdish1o1 Delay Redirects delay-redirects permite XSS basado en DOM. Este problema afecta a Delay Redirects: desde n/a hasta &amp;lt;= 1.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Trusona for WordPress de Trusona (CVE-2026-24627)
Fecha de publicación:
23/01/2026
Idioma:
Español
Vulnerabilidad de Autorización Faltante en Trusona Trusona para WordPress trusona permite Explotar Niveles de Seguridad de Control de Acceso Incorrectamente Configurados. Este problema afecta a Trusona para WordPress: desde n/a hasta &amp;lt;= 2.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en Rosebud de Mikado-Themes (CVE-2026-24631)
Fecha de publicación:
23/01/2026
Idioma:
Español
Vulnerabilidad de elusión de autorización a través de clave controlada por el usuario en Mikado-Themes Rosebud rosebud permite la explotación de niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Rosebud: desde n/a hasta &amp;lt;= 1.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en Passionate Brains (CVE-2026-24633)
Fecha de publicación:
23/01/2026
Idioma:
Español
Vulnerabilidad por autorización faltante en Passionate Brains Add Expires Headers &amp;amp; Optimized Minify add-expires-headers permite la explotación de niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Add Expires Headers &amp;amp; Optimized Minify: desde n/a hasta &amp;lt;= 3.1.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026
Suscribirse a Vulnerabilidades