Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cross Site Scripting vulnerability in tale v.2.0.5 allows an attacker to execute arbitrary code.... (CVE-2025-69749)
Fecha de publicación:
29/01/2026
Idioma:
Español
Vulnerabilidad de Cross Site Scripting en tale v.2.0.5 permite a un atacante ejecutar código arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en KiloView (CVE-2026-1453)
Fecha de publicación:
29/01/2026
Idioma:
Español
Una vulnerabilidad de ausencia de autenticación para función crítica en la serie de codificadores KiloView podría permitir a un atacante no autenticado crear o eliminar cuentas de administrador. Esta vulnerabilidad puede otorgar al atacante control administrativo total sobre el producto.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en VX800v v1.0 de TP-Link Systems Inc. (CVE-2025-15541)
Fecha de publicación:
29/01/2026
Idioma:
Español
Resolución incorrecta de enlaces en el servicio SFTP VX800v v1.0 permite a atacantes adyacentes autenticados utilizar enlaces simbólicos manipulados para acceder a archivos del sistema, lo que resulta en un alto impacto en la confidencialidad y un riesgo limitado para la integridad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en Denial of Service (DoS) of VoIP Communication on TP-Link VX800v (CVE-2025-15542)
Fecha de publicación:
29/01/2026
Idioma:
Español
Manejo inadecuado de condiciones excepcionales en VX800v v1.0 en el procesamiento SIP permite a un atacante inundar el dispositivo con mensajes INVITE manipulados, bloqueando todas las líneas de voz y causando una denegación de servicio en las llamadas entrantes.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en VX800v v1.0 de TP-Link Systems Inc. (CVE-2025-15548)
Fecha de publicación:
29/01/2026
Idioma:
Español
Algunos puntos finales de la interfaz web VX800v v1.0 transmiten información sensible a través de HTTP sin cifrar debido a la falta de cifrado en la capa de aplicación, lo que permite a un atacante adyacente a la red interceptar este tráfico y comprometer su confidencialidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en Read-Only Root Access via USB Storage Device in TP-Link VX800v (CVE-2025-15543)
Fecha de publicación:
29/01/2026
Idioma:
Español
Resolución de enlaces incorrecta en la ruta de acceso HTTP USB en VX800v v1.0 permite que un dispositivo USB manipulado exponga el contenido del sistema de archivos raíz, dando a un atacante con acceso físico acceso de solo lectura a los archivos del sistema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/03/2026

Vulnerabilidad en VX800v v1.0 de TP-Link Systems Inc. (CVE-2025-13399)
Fecha de publicación:
29/01/2026
Idioma:
Español
Una debilidad en el cifrado de capa de aplicación de la interfaz web en VX800v v1.0 permite a un atacante adyacente forzar por fuerza bruta la clave AES débil y descifrar el tráfico interceptado. La explotación exitosa requiere proximidad de red pero no autenticación, y puede resultar en un alto impacto en la confidencialidad, integridad y disponibilidad de los datos transmitidos.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/03/2026

Vulnerabilidad en AutoGPT de Significant-Gravitas (CVE-2026-24780)
Fecha de publicación:
29/01/2026
Idioma:
Español
AutoGPT es una plataforma que permite a los usuarios crear, desplegar y gestionar agentes de inteligencia artificial continuos que automatizan flujos de trabajo complejos. Antes de autogpt-platform-beta-v0.6.44, los puntos finales de ejecución de bloques de la Plataforma AutoGPT (tanto la API web principal como la API externa) permiten ejecutar bloques por UUID sin verificar la bandera 'disabled'. Cualquier usuario autenticado puede ejecutar el 'BlockInstallationBlock' deshabilitado, que escribe código Python arbitrario en el sistema de archivos del servidor y lo ejecuta a través de '__import__()', logrando Ejecución Remota de Código. En despliegues autoalojados predeterminados donde el registro de Supabase está habilitado, un atacante puede autorregistrarse; si el registro está deshabilitado (por ejemplo, alojado), el atacante necesita una cuenta existente. autogpt-platform-beta-v0.6.44 contiene una corrección.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/02/2026

Vulnerabilidad en kata-containers (CVE-2026-24054)
Fecha de publicación:
29/01/2026
Idioma:
Español
Kata Containers es un proyecto de código abierto centrado en una implementación estándar de Máquinas Virtuales (VMs) ligeras que se comportan como contenedores. En versiones anteriores a la 3.26.0, cuando una imagen de contenedor está malformada o no contiene capas, containerd recurre a montar mediante bind-mount un directorio snapshotter vacío para el rootfs del contenedor. Cuando el tiempo de ejecución de Kata intenta montar el rootfs del contenedor, el bind mount provoca que el rootfs sea detectado como un dispositivo de bloque, lo que lleva a que el dispositivo subyacente sea conectado en caliente (hotplugged) al invitado. Esto puede causar errores a nivel de sistema de archivos en el host debido a la doble asignación de inodos, y puede llevar a que el dispositivo de bloque del host sea montado como de solo lectura. La versión 3.26.0 contiene un parche para el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en icinga2 (CVE-2026-24413)
Fecha de publicación:
29/01/2026
Idioma:
Español
Icinga 2 es un sistema de monitoreo de código abierto. A partir de la versión 2.3.0 y antes de las versiones 2.13.14, 2.14.8 y 2.15.2, el MSI de Icinga 2 no configuraba los permisos adecuados para la carpeta '%ProgramData%\icinga2\var' en Windows. Esto resultaba en que su contenido - incluyendo la clave privada del usuario y la configuración sincronizada - fuera legible por todos los usuarios locales. Todas las instalaciones en Windows están afectadas. Las versiones 2.13.14, 2.14.8 y 2.15.2 contienen una solución. Existen dos posibilidades para solucionar el problema sin actualizar Icinga 2. Actualice Icinga para Windows a al menos la versión v1.13.4, v1.12.4 o v1.11.2. Estas versiones corregirán automáticamente las ACL para el agente de Icinga 2 también. Alternativamente, actualice manualmente la ACL para la carpeta dada 'C:\ProgramData\icinga2\var' (y 'C:\Program Files\WindowsPowerShell\modules\icinga-powershell-framework\certificate' para solucionar el problema también para Icinga para Windows) incluyendo cada subcarpeta y elemento para restringir el acceso a los usuarios generales, permitiendo el acceso solo al usuario de servicio de Icinga y a los administradores.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en icinga-powershell-framework (CVE-2026-24414)
Fecha de publicación:
29/01/2026
Idioma:
Español
El Icinga PowerShell Framework proporciona posibilidades de configuración y verificación para asegurar la integración y el monitoreo de entornos Windows. En versiones anteriores a la 1.13.4, 1.12.4 y 1.11.2, los permisos del directorio 'certificate' de Icinga para Windows otorgan a cada usuario acceso de lectura, lo que resulta en la exposición de la clave privada del certificado de Icinga para el host dado. Todas las instalaciones están afectadas. Las versiones 1.13.4, 1.12.4 y 1.11.2 contienen un parche. Tenga en cuenta que la actualización a una versión corregida de Icinga para Windows también solucionará automáticamente un problema similar presente en Icinga 2, CVE-2026-24413. Como solución alternativa, los permisos pueden restringirse manualmente actualizando la ACL para la carpeta dada 'C:\Program Files\WindowsPowerShell\modules\icinga-powershell-framework\certificate' (y 'C:\ProgramData\icinga2\var' para solucionar también el problema del agente de Icinga 2) incluyendo cada subcarpeta y elemento para restringir el acceso a los usuarios generales, permitiendo el acceso únicamente al usuario de servicio de Icinga y a los administradores.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/03/2026

Vulnerabilidad en immich (CVE-2026-23896)
Fecha de publicación:
29/01/2026
Idioma:
Español
immich es una solución de gestión de fotos y videos autoalojada de alto rendimiento. Antes de la versión 2.5.0, las claves API pueden escalar sus propios permisos al llamar al endpoint de actualización, permitiendo que una clave API de bajo privilegio se otorgue acceso administrativo completo al sistema. La versión 2.5.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades