Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2025-14470
Fecha de publicación:
12/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. Reason: This candidate was issued in error. Notes: All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
12/01/2026

Vulnerabilidad en wlc de WeblateOrg (CVE-2026-22250)
Fecha de publicación:
12/01/2026
Idioma:
Español
wlc es un cliente de línea de comandos de Weblate que utiliza la API REST de Weblate. Antes de la versión 1.17.0, la verificación SSL se omitiría para algunas URL manipuladas. Esta vulnerabilidad está corregida en la versión 1.17.0.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/01/2026

Vulnerabilidad en wlc de WeblateOrg (CVE-2026-22251)
Fecha de publicación:
12/01/2026
Idioma:
Español
wlc es un cliente de línea de comandos de Weblate que utiliza la API REST de Weblate. Antes de la versión 1.17.0, wlc admitía proporcionar claves de API sin ámbito en la configuración. Esta práctica fue desaconsejada durante años, pero el código nunca fue eliminado. Esto podría causar que la clave de API se filtre a diferentes servidores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/01/2026

Vulnerabilidad en avahi (CVE-2025-68468)
Fecha de publicación:
12/01/2026
Idioma:
Español
Avahi es un sistema que facilita el descubrimiento de servicios en una red local a través del conjunto de protocolos mDNS/DNS-SD. En 0.9-rc2 y versiones anteriores, avahi-daemon puede ser colapsado enviando anuncios no solicitados que contienen registros de recursos CNAME que lo apuntan a registros de recursos con TTL cortos. Tan pronto como expiran, avahi-daemon colapsa.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2026

Vulnerabilidad en avahi (CVE-2025-68471)
Fecha de publicación:
12/01/2026
Idioma:
Español
Avahi es un sistema que facilita el descubrimiento de servicios en una red local a través del conjunto de protocolos mDNS/DNS-SD. En 0.9-rc2 y versiones anteriores, avahi-daemon puede ser colapsado al enviar 2 anuncios no solicitados con registros de recursos CNAME con 2 segundos de diferencia.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2026

Vulnerabilidad en esp-usb de espressif (CVE-2025-68656)
Fecha de publicación:
12/01/2026
Idioma:
Español
El Controlador Espressif ESP-IDF USB Host HID (Human Interface Device) permite el acceso a dispositivos HID. Antes de la 1.1.0, usb_class_request_get_descriptor() libera y reasigna hid_device->ctrl_xfer cuando se solicita un descriptor de tamaño excesivo, pero continúa usando el puntero local obsoleto, lo que lleva a un uso después de liberación inmediato al procesar longitudes de descriptores de informe controladas por el atacante. Esta vulnerabilidad está corregida en la 1.1.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2026

Vulnerabilidad en esp-usb de espressif (CVE-2025-68657)
Fecha de publicación:
12/01/2026
Idioma:
Español
El controlador Espressif ESP-IDF USB Host HID (dispositivo de interfaz humana) permite el acceso a dispositivos HID. Antes de la versión 1.1.0, las llamadas a hid_host_device_close() pueden liberar la misma usb_transfer_t dos veces. La devolución de llamada de eventos USB y el código de usuario comparten el estado de hid_iface_t sin bloqueo, por lo que ambos pueden desmantelar una interfaz READY simultáneamente, corrompiendo los metadatos del heap dentro de la pila de host USB de ESP. Esta vulnerabilidad se corrige en la versión 1.1.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2026

Vulnerabilidad en label-studio de HumanSignal (CVE-2026-22033)
Fecha de publicación:
12/01/2026
Idioma:
Español
Label Studio es una herramienta de etiquetado y anotación de datos de múltiples tipos. En 1.22.0 y versiones anteriores, existe una vulnerabilidad de cross-site scripting (XSS) persistente almacenado en la funcionalidad custom_hotkeys de la aplicación. Un atacante autenticado (o uno que pueda engañar a un usuario/administrador para que actualice sus custom_hotkeys) puede inyectar código JavaScript que se ejecuta en los navegadores de otros usuarios cuando esos usuarios cargan cualquier página utilizando la plantilla templates/base.html. Debido a que la aplicación expone un endpoint de token de API (/api/current-user/token) al navegador y carece de una protección CSRF robusta en algunos endpoints de API, el script inyectado puede obtener el token de API de la víctima o llamar a endpoints de restablecimiento de token — lo que permite la toma de control total de la cuenta y el acceso no autorizado a la API.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/01/2026

Vulnerabilidad en ONTAP 9 de NETAPP (CVE-2026-22050)
Fecha de publicación:
12/01/2026
Idioma:
Español
Las versiones de ONTAP 9.16.1 anteriores a 9.16.1P9 y 9.17.1 anteriores a 9.17.1P2 con el bloqueo de instantáneas habilitado son susceptibles a una vulnerabilidad que podría permitir a un atacante remoto privilegiado establecer el tiempo de caducidad de la instantánea en ninguno.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/01/2026

Vulnerabilidad en avahi (CVE-2025-68276)
Fecha de publicación:
12/01/2026
Idioma:
Español
Avahi es un sistema que facilita el descubrimiento de servicios en una red local a través de la suite de protocolos mDNS/DNS-SD. En 0.9-rc2 y versiones anteriores, un usuario local sin privilegios puede bloquear avahi-daemon (con el área extendida deshabilitada) creando navegadores de registros con la bandera AVAHI_LOOKUP_USE_WIDE_AREA establecida a través de D-Bus. Esto se puede hacer ya sea llamando directamente al método RecordBrowserNew o creando resolutores/navegadores de nombre de host/dirección/servicio que crean esos navegadores internamente por sí mismos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2026

Vulnerabilidad en esp-usb de espressif (CVE-2025-68622)
Fecha de publicación:
12/01/2026
Idioma:
Español
El controlador de clase UVC de host USB de Espressif ESP-IDF permite la transmisión de video desde cámaras USB. Antes de la versión 2.4.0, una vulnerabilidad en la implementación de host UVC de esp-usb permite que un dispositivo malicioso de clase de video USB (UVC) active un desbordamiento de búfer de pila durante el análisis del descriptor de configuración. Cuando la impresión del descriptor de configuración UVC está habilitada, el host imprime información detallada del descriptor proporcionada por el dispositivo USB conectado. Un descriptor UVC especialmente diseñado puede anunciar una longitud excesivamente grande. Debido a que este valor no se valida antes de ser copiado en un búfer de pila de tamaño fijo, un atacante puede desbordar el búfer y corromper la memoria. Esta vulnerabilidad se corrige en la versión 2.4.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2026

Vulnerabilidad en DDSN Interactive Acora CMS (CVE-2025-63314)
Fecha de publicación:
12/01/2026
Idioma:
Español
Un token estático de restablecimiento de contraseña en la función de restablecimiento de contraseña de DDSN Interactive Acora CMS v10.7.1 permite a los atacantes restablecer arbitrariamente la contraseña del usuario y ejecutar una toma de control completa de la cuenta mediante un ataque de repetición.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/01/2026
Suscribirse a Vulnerabilidades