Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-22837
Fecha de publicación:
13/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
13/01/2026

CVE-2026-22829
Fecha de publicación:
13/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
13/01/2026

Vulnerabilidad en Hikvision (CVE-2025-66176)
Fecha de publicación:
13/01/2026
Idioma:
Español
Hay una vulnerabilidad de desbordamiento de pila en la función de búsqueda y descubrimiento de dispositivos de los productos de control de acceso de Hikvision. Si se explota, un atacante en la misma red de área local (LAN) podría causar un mal funcionamiento del dispositivo enviando paquetes especialmente diseñados a un dispositivo sin parchear.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en Hikvision (CVE-2025-66177)
Fecha de publicación:
13/01/2026
Idioma:
Español
Hay una vulnerabilidad de desbordamiento de pila en la función de Búsqueda y Descubrimiento de dispositivos de los modelos Hikvision NVR/DVR/CVR/IPC. Si se explota, un atacante en la misma red de área local (LAN) podría causar que el dispositivo funcione mal enviando paquetes especialmente diseñados a un dispositivo sin parchear.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en SAP Business Connector de SAP_SE (CVE-2026-0514)
Fecha de publicación:
13/01/2026
Idioma:
Español
Debido a una vulnerabilidad de cross-site scripting (XSS) en SAP Business Connector, un atacante no autenticado podría crear un enlace malicioso. Cuando un usuario desprevenido hace clic en este enlace, el usuario podría ser redirigido a un sitio controlado por el atacante. La explotación exitosa podría permitir al atacante acceder o modificar información relacionada con el cliente web, lo que afectaría la confidencialidad y la integridad, sin efecto en la disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2026

Vulnerabilidad en SAP NetWeaver Application Server ABAP and ABAP Platform de SAP_SE (CVE-2026-0506)
Fecha de publicación:
13/01/2026
Idioma:
Español
Debido a una vulnerabilidad por falta de verificación de autorización en el Servidor de Aplicaciones ABAP y la Plataforma ABAP, un atacante autenticado podría hacer un uso indebido de una función RFC para ejecutar rutinas de formulario (FORMs) en el sistema ABAP. La explotación exitosa podría permitir al atacante escribir o modificar datos accesibles a través de FORMs e invocar funcionalidad del sistema expuesta a través de FORMs, resultando en un alto impacto en la integridad y la disponibilidad, mientras que la confidencialidad no se ve afectada.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/01/2026

Vulnerabilidad en SAP Supplier Relationship Management (SICF Handler in SRM Catalog) de SAP_SE (CVE-2026-0513)
Fecha de publicación:
13/01/2026
Idioma:
Español
Debido a una Vulnerabilidad de Redirección Abierta en SAP Supplier Relationship Management (controlador SICF en el catálogo SRM), un atacante no autenticado podría elaborar una URL maliciosa que, si es accedida por una víctima, la redirige a un sitio controlado por el atacante. Esto causa bajo impacto en la integridad de la aplicación. La confidencialidad y la disponibilidad no tienen impacto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2026

Vulnerabilidad en SAP Identity Management de SAP_SE (CVE-2026-0504)
Fecha de publicación:
13/01/2026
Idioma:
Español
Debido a un manejo insuficiente de entrada, la interfaz REST de SAP Identity Management permite a un administrador autenticado enviar solicitudes REST maliciosas especialmente diseñadas que son procesadas por operaciones JNDI sin una neutralización de entrada adecuada. Esto puede llevar a una divulgación limitada o modificación de datos, resultando en un bajo impacto en la confidencialidad y la integridad, sin impacto en la disponibilidad de la aplicación.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en SAP Application Server for ABAP and SAP NetWeaver RFCSDK de SAP_SE (CVE-2026-0507)
Fecha de publicación:
13/01/2026
Idioma:
Español
Debido a una vulnerabilidad de inyección de comandos del sistema operativo en SAP Servidor de aplicaciones para ABAP y SAP NetWeaver RFCSDK, un atacante autenticado con acceso administrativo y acceso a la red adyacente podría cargar contenido especialmente diseñado al servidor. Si es procesado por la aplicación, este contenido permite la ejecución de comandos arbitrarios del sistema operativo. La explotación exitosa podría llevar a un compromiso total de la confidencialidad, integridad y disponibilidad del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en NW AS Java UME User Mapping de SAP_SE (CVE-2026-0510)
Fecha de publicación:
13/01/2026
Idioma:
Español
El User Management Engine (UME) en NetWeaver Servidor de Aplicaciones para Java (NW AS Java) utiliza un algoritmo criptográfico obsoleto para cifrar datos de mapeo de usuarios. Esta debilidad podría permitir a un atacante con acceso de altos privilegios explotar la vulnerabilidad bajo condiciones específicas, lo que podría llevar a la divulgación parcial de información sensible. Esto tiene bajo impacto en la confidencialidad, sin impacto en la integridad y disponibilidad de la aplicación.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en SAP Fiori App (Intercompany Balance Reconciliation) de SAP_SE (CVE-2026-0511)
Fecha de publicación:
13/01/2026
Idioma:
Español
La aplicación SAP Fiori Intercompany Balance Reconciliation no realiza las comprobaciones de autorización necesarias para un usuario autenticado, lo que resulta en una escalada de privilegios. Esto tiene un alto impacto en la confidencialidad e integridad de la aplicación; la disponibilidad no se ve afectada.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en SAP S/4HANA (Private Cloud and On-Premise) de SAP_SE (CVE-2026-0498)
Fecha de publicación:
13/01/2026
Idioma:
Español
SAP S/4HANA (Nube Privada y On-Premise) permite a un atacante con privilegios de administrador explotar una vulnerabilidad en el módulo de función expuesto vía RFC. Esta falla permite la inyección de código ABAP/comandos de SO arbitrarios en el sistema, eludiendo comprobaciones de autorización esenciales. Esta vulnerabilidad funciona efectivamente como una puerta trasera, creando el riesgo de compromiso total del sistema, socavando la confidencialidad, integridad y disponibilidad del sistema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/01/2026
Suscribirse a Vulnerabilidades