Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en decidim (CVE-2025-65017)
Fecha de publicación:
03/02/2026
Idioma:
Español
Decidim es un framework de democracia participativa. En las versiones desde la 0.30.0 hasta antes de la 0.30.4 y desde la 0.31.0.rc1 hasta antes de la 0.31.0, las exportaciones de datos privados pueden provocar fugas de datos en caso de la generación de UUID, causando colisiones para los UUID generados. Este problema ha sido parcheado en las versiones 0.30.4 y 0.31.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en Django (CVE-2025-13473)
Fecha de publicación:
03/02/2026
Idioma:
Español
Se descubrió un problema en 6.0 anterior a 6.0.2, 5.2 anterior a 5.2.11, y 4.2 anterior a 4.2.28.<br /> La función &amp;#39;django.contrib.auth.handlers.modwsgi.check_password()&amp;#39; para autenticación a través de &amp;#39;mod_wsgi&amp;#39; permite a atacantes remotos enumerar usuarios mediante un ataque de temporización.<br /> Series de Django anteriores no soportadas (como 5.0.x, 4.1.x, y 3.2.x) no fueron evaluadas y también podrían estar afectadas.<br /> Django desea agradecer a Stackered por reportar este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2026

Vulnerabilidad en asgiref (CVE-2025-14550)
Fecha de publicación:
03/02/2026
Idioma:
Español
Se descubrió un problema en 6.0 anterior a 6.0.2, 5.2 anterior a 5.2.11 y 4.2 anterior a 4.2.28.<br /> &amp;#39;ASGIRequest&amp;#39; permite a un atacante remoto causar una posible denegación de servicio mediante una solicitud manipulada con múltiples encabezados duplicados.<br /> Series de Django anteriores y no compatibles (como 5.0.x, 4.1.x y 3.2.x) no fueron evaluadas y también podrían verse afectadas.<br /> Django desea agradecer a Jiyong Yang por informar sobre este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2026

Vulnerabilidad en Web Companion de Lavasoft (CVE-2020-37102)
Fecha de publicación:
03/02/2026
Idioma:
Español
Adaware Web Companion 4.9.2159 contiene una vulnerabilidad de ruta de servicio sin comillas en el WCAssistantService que permite a atacantes locales ejecutar potencialmente código arbitrario. Los atacantes pueden explotar la ruta binaria sin comillas para inyectar ejecutables maliciosos que se ejecutarán con privilegios de LocalSystem durante el inicio del servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en DIGITA Efficiency Management System (CVE-2025-5319)
Fecha de publicación:
03/02/2026
Idioma:
Español
Vulnerabilidad de Neutralización Incorrecta de Elementos Especiales utilizados en un Comando SQL (&amp;#39;Inyección SQL&amp;#39;) en el Sistema de Gestión de Eficiencia DIGITA de Emit Informatics and Communication Technologies Industry and Trade Ltd. Co. permite la inyección SQL. Este problema afecta al Sistema de Gestión de Eficiencia DIGITA: hasta el 03022026.<br /> NOTA: Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Sync Breeze Enterprise de SyncBreeze (CVE-2020-37100)
Fecha de publicación:
03/02/2026
Idioma:
Español
Sync Breeze Enterprise 12.4.18 contiene una vulnerabilidad de ruta de servicio sin comillas que permite a atacantes locales ejecutar código arbitrario con privilegios de sistema elevados. Los atacantes pueden explotar la ruta binaria sin comillas al colocar ejecutables maliciosos en ubicaciones específicas del sistema de archivos para secuestrar el proceso de inicio del servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en AnyDesk de Anydesk (CVE-2019-25261)
Fecha de publicación:
03/02/2026
Idioma:
Español
AnyDesk 5.4.0 contiene una vulnerabilidad de ruta de servicio sin comillas en la configuración de su servicio de Windows que permite a atacantes locales inyectar potencialmente ejecutables maliciosos. Los atacantes pueden explotar la ruta binaria sin comillas para colocar archivos maliciosos en ubicaciones de ejecutables de servicio, obteniendo potencialmente privilegios de sistema elevados.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en Disk Sorter Enterprise de DiskSorter (CVE-2020-37098)
Fecha de publicación:
03/02/2026
Idioma:
Español
Disk Sorter Enterprise 12.4.16 contiene una vulnerabilidad de ruta de servicio sin comillas que permite a atacantes locales ejecutar código arbitrario con privilegios de sistema elevados. Los atacantes pueden explotar la ruta sin comillas en la configuración del servicio para inyectar ejecutables maliciosos que se iniciarán con permisos de LocalSystem.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Disk Savvy Enterprise de DiskSavvy (CVE-2020-37099)
Fecha de publicación:
03/02/2026
Idioma:
Español
Disk Savvy Enterprise 12.3.18 contiene una vulnerabilidad de ruta de servicio sin comillas en su configuración de servicio que permite a atacantes locales ejecutar potencialmente código arbitrario. Los atacantes pueden explotar la ruta sin comillas en &amp;#39;C:\Program Files\Disk Savvy Enterprise\bin\disksvs.exe&amp;#39; para inyectar ejecutables maliciosos y escalar privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en VPN unlimited de Vpnunlimitedapp (CVE-2020-37101)
Fecha de publicación:
03/02/2026
Idioma:
Español
VPN Unlimited 6.1 contiene una vulnerabilidad de ruta de servicio sin comillas que permite a atacantes locales inyectar ejecutables maliciosos en la ruta binaria del servicio. Los atacantes pueden explotar la ruta sin comillas en &amp;#39;C:\Program Files (x86)\VPN Unlimited\&amp;#39; para reemplazar el ejecutable del servicio y obtener privilegios de sistema elevados.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Association Web Package Flora (CVE-2025-7760)
Fecha de publicación:
03/02/2026
Idioma:
Español
Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web (XSS o &amp;#39;cross-site scripting&amp;#39;) vulnerabilidad en Ofisimo Web-Based Software Technologies Association Web Package Flora permite XSS a través de Encabezados HTTP. Este problema afecta a Association Web Package Flora: desde la v3.0 hasta el 03022026. NOTA: Se contactó al proveedor con antelación sobre esta divulgación pero no respondió de ninguna manera.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Website Software (CVE-2025-6397)
Fecha de publicación:
03/02/2026
Idioma:
Español
Vulnerabilidad de Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web (XSS o &amp;#39;cross-site scripting&amp;#39;) en el Software de Diseño de Sitios Web de Ankara Hosting permite XSS Reflejado. Este problema afecta al Software de Sitios Web: hasta el 03022026.<br /> <br /> NOTA: Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades