Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en LangChain de LangChain AI (CVE-2024-58340)
Fecha de publicación:
12/01/2026
Idioma:
Español
Las versiones de LangChain hasta la 0.3.1 inclusive contienen una vulnerabilidad de denegación de servicio por expresión regular (ReDoS) en el método MRKLOutputParser.parse() (libs/langchain/langchain/agents/mrkl/output_parser.py). El analizador aplica una expresión regular propensa a retrocesos al extraer acciones de herramientas de la salida del modelo. Un atacante que puede suministrar o influir en el texto analizado (por ejemplo, mediante inyección de prompt en aplicaciones posteriores que pasan la salida del LLM directamente a MRKLOutputParser.parse()) puede desencadenar un consumo excesivo de CPU al proporcionar una carga útil manipulada, causando retrasos significativos en el análisis y una condición de denegación de servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en gin-vue-admin de flipped-aurora (CVE-2026-22786)
Fecha de publicación:
12/01/2026
Idioma:
Español
Gin-vue-admin es un sistema de gestión de *backend* basado en Vue y Gin. Gin-vue-admin <= v2.8.7 tiene una vulnerabilidad de salto de ruta en la funcionalidad de carga de reanudación de punto de interrupción. El atacante puede cargar cualquier archivo en cualquier directorio. En el archivo breakpoint_continue.go, la función MakeFile acepta un parámetro fileName a través del *endpoint* de la API /fileUploadAndDownload/breakpointContinueFinish y lo concatena directamente con la ruta del directorio base (./fileDir/) usando os.OpenFile() sin ninguna validación para secuencias de salto de directorio (por ejemplo, ../). Un atacante con privilegios de carga de archivos podría explotar esta vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en WebErpMesv2 de SMEWebify (CVE-2026-22788)
Fecha de publicación:
12/01/2026
Idioma:
Español
WebErpMesv2 es un sistema web de gestión de recursos y ejecución de fabricación para la industria. Antes de la 1.19, la aplicación WebErpMesV2 expone múltiples puntos finales de API sensibles sin middleware de autenticación. Un atacante remoto no autenticado puede leer datos críticos para el negocio, incluyendo empresas, cotizaciones, pedidos, tareas y pizarras. Acceso de escritura limitado permite la creación de registros de empresas y la manipulación completa de pizarras de colaboración. Esta vulnerabilidad está corregida en la 1.19.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en WebErpMesv2 de SMEWebify (CVE-2026-22789)
Fecha de publicación:
12/01/2026
Idioma:
Español
WebErpMesv2 es un sistema web de gestión de recursos y ejecución de fabricación para la industria. Antes de la versión 1.19, WebErpMesv2 contiene una vulnerabilidad de omisión de validación de carga de archivos en múltiples controladores que permite a los usuarios autenticados cargar archivos arbitrarios, incluyendo scripts PHP, lo que lleva a la ejecución remota de código (RCE). Esta vulnerabilidad es idéntica en naturaleza a CVE-2025-52130 pero existe en diferentes ubicaciones de código que no fueron abordadas por la corrección original. Esta vulnerabilidad se corrigió en la versión 1.19.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/01/2026

Vulnerabilidad en appsmith de appsmithorg (CVE-2026-22794)
Fecha de publicación:
12/01/2026
Idioma:
Español
Appsmith es una plataforma para construir paneles de administración, herramientas internas y cuadros de mando. Antes de la versión 1.93, el servidor utiliza el valor Origin de los encabezados de solicitud como la baseUrl de los enlaces de correo electrónico sin validación. Si un atacante controla el Origin, se pueden generar enlaces de restablecimiento de contraseña / verificación de correo electrónico en los correos electrónicos que apunten al dominio del atacante, causando que los tokens de autenticación queden expuestos y potencialmente llevando a la toma de control de la cuenta. Esta vulnerabilidad se corrige en la versión 1.93.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2026

Vulnerabilidad en hermes de softwarepub (CVE-2026-22798)
Fecha de publicación:
12/01/2026
Idioma:
Español
hermes es una implementación del flujo de trabajo HERMES para automatizar la publicación de software con metadatos enriquecidos. Desde la versión 0.8.1 hasta antes de la 0.9.1, los subcomandos de hermes aceptan opciones arbitrarias bajo el argumento -O. Estas se han registrado en formato sin procesar. Si los usuarios proporcionan datos sensibles como tokens de API (p. ej., a través de hermes deposit -O invenio_rdm.auth_token SECRET), estos se escriben en el archivo de registro en texto plano, haciéndolos disponibles para cualquiera que pueda acceder al archivo de registro. Esta vulnerabilidad se corrige en la versión 0.9.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/03/2026

Vulnerabilidad en emlog (CVE-2026-22799)
Fecha de publicación:
12/01/2026
Idioma:
Español
Emlog es un sistema de creación de sitios web de código abierto. emlog v2.6.1 y versiones anteriores expone un endpoint de API REST (/index.php?rest-api=upload) para la carga de archivos multimedia. El endpoint no implementa una validación adecuada de tipos de archivo, extensiones y contenido, permitiendo a atacantes autenticados (con una clave API válida o una cookie de sesión de administrador) cargar archivos arbitrarios (incluidos scripts PHP maliciosos) al servidor. Un atacante puede obtener la clave API ya sea obteniendo acceso de administrador para habilitar la configuración de la API REST, o a través de vulnerabilidades de revelación de información en la aplicación. Una vez cargado, el archivo PHP malicioso puede ser ejecutado para obtener ejecución remota de código (RCE) en el servidor objetivo, lo que lleva a un compromiso total del servidor.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
21/01/2026

Vulnerabilidad en Sagemcom F@st (CVE-2025-29329)
Fecha de publicación:
12/01/2026
Idioma:
Español
Desbordamiento de búfer en el servicio ippprint (Internet Printing Protocol) en Sagemcom F@st 3686 MAGYAR_4.121.0 permite a un atacante remoto ejecutar código arbitrario mediante el envío de una solicitud HTTP manipulada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/01/2026

Vulnerabilidad en AbhishekMali21 GYM-MANAGEMENT-SYSTEM (CVE-2025-67146)
Fecha de publicación:
12/01/2026
Idioma:
Español
Múltiples vulnerabilidades de inyección SQL existen en AbhishekMali21 GYM-MANAGEMENT-SYSTEM 1.0 a través del parámetro 'name' en (1) member_search.php, (2) trainer_search.php y (3) gym_search.php, y a través del parámetro 'id' en (4) payment_search.php. Un atacante remoto no autenticado puede explotar estos problemas para inyectar comandos SQL maliciosos, lo que lleva a la extracción no autorizada de datos, omisión de autenticación o la modificación del contenido de la base de datos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/01/2026

Vulnerabilidad en ServiceNow (CVE-2025-12420)
Fecha de publicación:
12/01/2026
Idioma:
Español
Se ha identificado una vulnerabilidad en la Plataforma de IA de ServiceNow que podría permitir a un usuario no autenticado suplantar a otro usuario y realizar las operaciones a las que el usuario suplantado tiene derecho a realizar.<br /> <br /> ServiceNow ha abordado esta vulnerabilidad mediante el despliegue de una actualización de seguridad relevante en las instancias alojadas en octubre de 2025. También se han proporcionado actualizaciones de seguridad a los clientes autoalojados de ServiceNow, socios y clientes alojados con configuraciones únicas. Además, la vulnerabilidad se aborda en las versiones de la aplicación de la tienda enumeradas. Recomendamos que los clientes apliquen rápidamente una actualización de seguridad o una actualización de versión apropiada si aún no lo han hecho.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
27/01/2026

Vulnerabilidad en fulcio de sigstore (CVE-2026-22772)
Fecha de publicación:
12/01/2026
Idioma:
Español
Fulcio es una autoridad de certificación para emitir certificados de firma de código para una identidad de OpenID Connect (OIDC). Antes de la versión 1.8.5, la función metaRegex() de Fulcio utiliza expresiones regulares no ancladas, permitiendo a los atacantes eludir la validación de URL de MetaIssuer y desencadenar SSRF a servicios internos arbitrarios. Dado que el SSRF solo puede desencadenar solicitudes GET, la solicitud no puede mutar el estado. La respuesta de la solicitud GET no se devuelve al llamador, por lo que la exfiltración de datos no es posible. Un actor malicioso podría intentar sondear una red interna a través de SSRF ciego. Esta vulnerabilidad está corregida en la versión 1.8.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2026

Vulnerabilidad en amansuryawanshi Gym-Management-System-PHP (CVE-2025-67147)
Fecha de publicación:
12/01/2026
Idioma:
Español
Existen múltiples vulnerabilidades de inyección SQL en amansuryawanshi Gym-Management-System-PHP 1.0 a través de los parámetros &amp;#39;name&amp;#39;, &amp;#39;email&amp;#39; y &amp;#39;comment&amp;#39; en (1) submit_contact.php, los parámetros &amp;#39;username&amp;#39; y &amp;#39;pass_key&amp;#39; en (2) secure_login.php, y los parámetros &amp;#39;login_id&amp;#39;, &amp;#39;pwfield&amp;#39; y &amp;#39;login_key&amp;#39; en (3) change_s_pwd.php. Un atacante no autenticado o autenticado puede explotar estos problemas para omitir la autenticación, ejecutar comandos SQL arbitrarios, modificar registros de la base de datos, eliminar datos o escalar privilegios a nivel de administrador.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades