Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2020-8459
Fecha de publicación:
22/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. The CVE was never used.
Gravedad: Pendiente de análisis
Última modificación:
22/01/2026

CVE-2020-8460
Fecha de publicación:
22/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. The CVE was never used.
Gravedad: Pendiente de análisis
Última modificación:
22/01/2026

CVE-2021-3926
Fecha de publicación:
22/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. The CVE was never used.
Gravedad: Pendiente de análisis
Última modificación:
22/01/2026

CVE-2020-8452
Fecha de publicación:
22/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. The CVE was never used.
Gravedad: Pendiente de análisis
Última modificación:
22/01/2026

Vulnerabilidad en MeetingHub (CVE-2026-1331)
Fecha de publicación:
22/01/2026
Idioma:
Español
MeetingHub desarrollado por HAMASTAR Technology tiene una vulnerabilidad de carga de archivos arbitrarios, permitiendo a atacantes remotos no autenticados cargar y ejecutar puertas traseras de tipo web shell, habilitando así la ejecución de código arbitrario en el servidor.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
17/02/2026

Vulnerabilidad en MeetingHub (CVE-2026-1330)
Fecha de publicación:
22/01/2026
Idioma:
Español
MeetingHub desarrollado por HAMASTAR Technology tiene una vulnerabilidad de lectura arbitraria de archivos, permitiendo a atacantes remotos no autenticados explotar el salto de ruta absoluto para descargar archivos de sistema arbitrarios.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/02/2026

CVE-2020-8451
Fecha de publicación:
22/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: The reserved CVE was never used.
Gravedad: Pendiente de análisis
Última modificación:
22/01/2026

Vulnerabilidad en WebSocket API service de Discord (CVE-2026-24332)
Fecha de publicación:
22/01/2026
Idioma:
Español
Discord hasta el 16 de enero de 2026 permite recopilar información sobre si el estado del cliente de un usuario es Invisible (y no realmente fuera de línea) porque la respuesta a una solicitud de API de WebSocket incluye al usuario en el array de presencias (con 'status': 'offline'), mientras que los usuarios fuera de línea son omitidos del array de presencias. Esto es discutiblemente inconsistente con la descripción de la interfaz de usuario de Invisible como 'Aparecerás fuera de línea'.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en LA-Studio Element (CVE-2026-0920)
Fecha de publicación:
22/01/2026
Idioma:
Español
El plugin LA-Studio Element Kit para Elementor para WordPress es vulnerable a la creación de usuarios administrativos en todas las versiones hasta e incluyendo la 1.5.6.3. Esto se debe a que la función 'ajax_register_handle' no restringe con qué roles de usuario puede registrarse un usuario. Esto hace posible que atacantes no autenticados suministren el parámetro 'lakit_bkrole' durante el registro y obtengan acceso de administrador al sitio.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en wheel de pypa (CVE-2026-24049)
Fecha de publicación:
22/01/2026
Idioma:
Español
wheel es una herramienta de línea de comandos para manipular archivos wheel de Python, según se define en PEP 427. En las versiones 0.40.0 a 0.46.1, la función unpack es vulnerable a la modificación de permisos de archivos debido a un manejo incorrecto de los permisos de archivos después de la extracción. La lógica confía ciegamente en el nombre de archivo del encabezado del archivo comprimido para la operación chmod, a pesar de que el propio proceso de extracción podría haber saneado la ruta. Los atacantes pueden crear un archivo wheel malicioso que, al ser descomprimido, cambia los permisos de archivos críticos del sistema (por ejemplo, /etc /passwd, claves SSH, archivos de configuración), permitiendo la escalada de privilegios o la ejecución de código arbitrario al modificar scripts ahora escribibles. Este problema ha sido solucionado en la versión 0.46.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en pytest (CVE-2025-71176)
Fecha de publicación:
22/01/2026
Idioma:
Español
pytest hasta la versión 9.0.2 en UNIX depende de directorios con el patrón de nombre /tmp/pytest-of-{user}, lo que permite a usuarios locales causar una denegación de servicio o posiblemente obtener privilegios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Horilla (CVE-2026-24039)
Fecha de publicación:
22/01/2026
Idioma:
Español
Horilla es un Sistema de Gestión de Recursos Humanos (HRMS) gratuito y de código abierto. La versión 1.4.0 tiene un Control de Acceso Inadecuado, permitiendo a empleados con pocos privilegios autoaprobar documentos que han subido. La interfaz de usuario (UI) de aprobación de documentos está destinada a ser restringida solo a roles de administrador o de grandes privilegios; sin embargo, una verificación de autorización insuficiente del lado del servidor en el endpoint de aprobación permite a un empleado estándar modificar el estado de aprobación de su propio documento subido. Si se explota con éxito, usuarios con permisos solo de nivel de empleado pueden alterar el estado de la aplicación reservado para administradores. Esto socava la integridad de los procesos de RRHH (por ejemplo, la aceptación de credenciales, certificaciones o materiales de apoyo), y puede permitir la presentación de documentos no verificados. Este problema está solucionado en la versión 1.5.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026
Suscribirse a Vulnerabilidades