Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Red Hat (CVE-2025-12548)
Fecha de publicación:
13/01/2026
Idioma:
Español
Se encontró una falla en Eclipse Che che-machine-exec. Esta vulnerabilidad permite la ejecución remota de comandos arbitrarios no autenticados y la exfiltración de secretos (claves SSH, tokens, etc.) de los contenedores de Espacio de Trabajo de Desarrollador de otros usuarios, a través de una API JSON-RPC / websocket no autenticada expuesta en el puerto TCP 3333.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Vanilla OS 2 Core image (CVE-2024-54855)
Fecha de publicación:
13/01/2026
Idioma:
Español
La imagen v1.1.0 de fabricators Ltd Vanilla OS 2 Core se descubrió que contenía claves estáticas para el servicio SSH, lo que podría permitir a los atacantes ejecutar un ataque man-in-the-middle durante las conexiones con otros hosts.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

Vulnerabilidad en Vivotek (CVE-2026-22755)
Fecha de publicación:
13/01/2026
Idioma:
Español
Vulnerabilidad de Neutralización incorrecta de elementos especiales utilizados en un comando ('inyección de comandos') en Vivotek. Los números de modelo de dispositivo afectados son FD8365, FD8365v2, FD9165, FD9171, FD9187, FD9189, FD9365, FD9371, FD9381, FD9387, FD9389, FD9391,FE9180,FE9181, FE9191, FE9381, FE9382, FE9391, FE9582, IB9365, IB93587LPR, IB9371,IB9381, IB9387, IB9389, IB939,IP9165,IP9171, IP9172, IP9181, IP9191, IT9389, MA9321, MA9322, MS9321, MS9390, TB9330. (Módulos de firmware) permite la inyección de comandos del sistema operativo. Este problema afecta a los números de modelo de dispositivo afectados FD8365, FD8365v2, FD9165, FD9171, FD9187, FD9189, FD9365, FD9371, FD9381, FD9387, FD9389, FD9391,FE9180,FE9181, FE9191, FE9381, FE9382, FE9391, FE9582, IB9365, IB93587LPR, IB9371,IB9381, IB9387, IB9389, IB939,IP9165,IP9171, IP9172, IP9181, IP9191, IT9389, MA9321, MA9322, MS9321, MS9390, TB9330: 0100a, 0106a, 0106b, 0107a, 0107b_1, 0109a, 0112a, 0113a, 0113d, 0117b, 0119e, 0120b, 0121, 0121d, 0121d_48573_1, 0122e, 0124d_48573_1, 012501, 012502, 0125c.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Eramba Community and Enterprise Editions (CVE-2025-55462)
Fecha de publicación:
13/01/2026
Idioma:
Español
Una mala configuración de CORS en las ediciones Community y Enterprise de Eramba v3.26.0 permite que un encabezado Origin controlado por el atacante se refleje en la respuesta Access-Control-Allow-Origin junto con Access-Control-Allow-Credentials: true. Esto permite que sitios web maliciosos de terceros realicen solicitudes autenticadas de origen cruzado contra la API de Eramba, incluyendo puntos finales como /system-api/login y /system-api/user/me. La respuesta incluye datos sensibles de la sesión del usuario (ID, nombre, correo electrónico, grupos de acceso), que son accesibles para el JavaScript del atacante. Esta falla permite el secuestro completo de la sesión y la exfiltración de datos sin interacción del usuario. Las versiones de Eramba 3.23.3 y anteriores fueron probadas y parecen no estar afectadas. La vulnerabilidad está presente en instalaciones predeterminadas, sin requerir configuración personalizada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en LoadMaster de Progress Software (CVE-2025-13447)
Fecha de publicación:
13/01/2026
Idioma:
Español
Vulnerabilidad de inyección de comandos del sistema operativo con ejecución remota de código en la API de Progress LoadMaster permite a un atacante autenticado con permisos de 'Administración de Usuarios' ejecutar comandos arbitrarios en el dispositivo LoadMaster explotando la entrada no saneada en los parámetros de entrada de la API.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en Nessus Agent de Tenable (CVE-2025-36640)
Fecha de publicación:
13/01/2026
Idioma:
Español
Se ha identificado una vulnerabilidad en la instalación/desinstalación de la aplicación de bandeja del Agente Nessus en hosts de Windows, lo que podría conducir a una escalada de privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Progress Software (CVE-2025-13444)
Fecha de publicación:
13/01/2026
Idioma:
Español
Vulnerabilidad de ejecución remota de código por inyección de comandos del sistema operativo en la API de Progress LoadMaster permite a un atacante autenticado con permisos de 'Administración de Usuarios' ejecutar comandos arbitrarios en el dispositivo LoadMaster explotando la entrada no saneada en los parámetros de entrada de la API.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en Firefox y Thunderbird de Mozilla (CVE-2026-0885)
Fecha de publicación:
13/01/2026
Idioma:
Español
Uso después de liberación en el componente JavaScript: GC. Esta vulnerabilidad afecta a Firefox < 147, Firefox ESR < 140.7, Thunderbird < 147, y Thunderbird < 140.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2026

Vulnerabilidad en Firefox y Thunderbird de Mozilla (CVE-2026-0886)
Fecha de publicación:
13/01/2026
Idioma:
Español
Condiciones de contorno incorrectas en el componente Gráficos. Esta vulnerabilidad afecta a Firefox < 147, Firefox ESR < 115.32, Firefox ESR < 140.7, Thunderbird < 147 y Thunderbird < 140.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2026

Vulnerabilidad en Firefox y Thunderbird de Mozilla (CVE-2026-0887)
Fecha de publicación:
13/01/2026
Idioma:
Español
Problema de clickjacking, revelación de información en el componente Visor de PDF. Esta vulnerabilidad afecta a Firefox < 147, Firefox ESR < 140.7, Thunderbird < 147 y Thunderbird < 140.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2026

Vulnerabilidad en Firefox y Thunderbird de Mozilla (CVE-2026-0888)
Fecha de publicación:
13/01/2026
Idioma:
Español
Revelación de información en el componente XML. Esta vulnerabilidad afecta a Firefox < 147 y Thunderbird < 147.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2026

Vulnerabilidad en Firefox y Thunderbird de Mozilla (CVE-2026-0889)
Fecha de publicación:
13/01/2026
Idioma:
Español
Denegación de servicio en el DOM: componente Service Workers. Esta vulnerabilidad afecta a Firefox < 147 y Thunderbird < 147.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/04/2026
Suscribirse a Vulnerabilidades