Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Ruijie Networks Co., Ltd. (CVE-2026-23699)
Fecha de publicación:
22/01/2026
Idioma:
Español
La serie AP180 con versiones de firmware anteriores a AP_RGOS 11.9(4)B1P8 contiene una vulnerabilidad de inyección de comandos del sistema operativo. Si se explota esta vulnerabilidad, se pueden ejecutar comandos arbitrarios en los dispositivos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en AES (CVE-2025-27379)
Fecha de publicación:
22/01/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) almacenada en el Visor de BOM en Altium AES 7.0.3 permite a un atacante autenticado inyectar JavaScript arbitrario en el campo Descripción de un esquemático, que se ejecuta cuando el Visor de BOM renderiza el contenido afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en AES (CVE-2025-27380)
Fecha de publicación:
22/01/2026
Idioma:
Español
Inyección HTML en la Versión del Proyecto en Altium Enterprise Server (AES) 7.0.3 en todas las plataformas permite a un atacante autenticado ejecutar JavaScript arbitrario en el navegador de la víctima a través de contenido HTML manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en Tendenci (CVE-2026-23946)
Fecha de publicación:
22/01/2026
Idioma:
Español
Tendenci es un sistema de gestión de contenidos de código abierto creado para organizaciones sin fines de lucro, asociaciones y sitios basados en causas. Las versiones 15.3.11 e inferiores incluyen una vulnerabilidad crítica de deserialización en el módulo Helpdesk (que no está habilitado por defecto). Esta vulnerabilidad permite la ejecución remota de código (RCE) por parte de un usuario autenticado con nivel de seguridad de personal debido al uso del módulo pickle de Python en helpdesk /reports/. El CVE-2020-14942 original se parcheó de forma incompleta. Aunque se corrigió ticket_list() para usar deserialización JSON segura, la función run_report() todavía usa pickle.loads() inseguro. El impacto está limitado a los permisos del usuario que ejecuta la aplicación, típicamente www-data, que generalmente carece de permisos de escritura (excepto para directorios de carga) y ejecución. Este problema ha sido corregido en la versión 15.3.12.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2026

Vulnerabilidad en sumatrapdf (CVE-2026-23951)
Fecha de publicación:
22/01/2026
Idioma:
Español
SumatraPDF es un lector multiformato para Windows. Todas las versiones contienen un error de off-by-one en el código de validación que solo se activa con exactamente 2 registros, causando un subdesbordamiento de enteros en el cálculo del tamaño. Este error existe en PalmDbReader::GetRecord al abrir un archivo Mobi manipulado, resultando en una lectura de montón fuera de límites que bloquea la aplicación. No hay correcciones publicadas en el momento de la publicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2026

Vulnerabilidad en openCryptoki (CVE-2026-23893)
Fecha de publicación:
22/01/2026
Idioma:
Español
openCryptoki es una librería PKCS#11 y proporciona herramientas para Linux y AIX. Las versiones 2.3.2 y superiores son vulnerables al seguimiento de enlaces simbólicos cuando se ejecutan en contextos privilegiados. Un usuario del grupo de tokens puede redirigir operaciones de archivo a destinos arbitrarios del sistema de archivos al colocar enlaces simbólicos en directorios de tokens con permisos de escritura para el grupo, lo que resulta en escalada de privilegios o exposición de datos. Los directorios de tokens y de bloqueo son 0770 (con permisos de escritura para el grupo de usuarios de tokens), por lo que cualquier miembro del grupo de tokens puede colocar archivos y enlaces simbólicos dentro de ellos. Cuando se ejecuta como root, el código base que maneja el acceso a archivos del directorio de tokens, así como varias herramientas de openCryptoki utilizadas con fines administrativos, pueden restablecer la propiedad o los permisos en archivos existentes dentro de los directorios de tokens. Un atacante con membresía en el grupo de tokens puede explotar el sistema cuando un administrador ejecuta una aplicación PKCS#11 o una herramienta administrativa que realiza chown en archivos dentro del directorio de tokens durante el mantenimiento normal. Este problema está solucionado en el commit 5e6e4b4, pero no ha sido incluido en una versión publicada en el momento de la publicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/03/2026

Vulnerabilidad en ImageMagick (CVE-2026-23952)
Fecha de publicación:
22/01/2026
Idioma:
Español
ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Las versiones 14.10.1 e inferiores tienen una vulnerabilidad de desreferencia de puntero NULL en el analizador MSL (Magick Scripting Language) al procesar etiquetas antes de que se carguen las imágenes. Esto puede conducir a un ataque DoS debido a un fallo de aserción (en compilaciones de depuración) o a una desreferencia de puntero NULL (en compilaciones de lanzamiento). Este problema se ha solucionado en la versión 14.10.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en AES (CVE-2025-27378)
Fecha de publicación:
22/01/2026
Idioma:
Español
AES contiene una vulnerabilidad de inyección SQL debido a una configuración inactiva que impide que se aplique la lógica de análisis SQL más reciente. Cuando esta configuración no está habilitada, la entrada manipulada puede ser manejada incorrectamente, permitiendo a los atacantes inyectar y ejecutar consultas SQL arbitrarias.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en Altium Designer (CVE-2025-27377)
Fecha de publicación:
22/01/2026
Idioma:
Español
Altium Designer versión 24.9.0 no valida los certificados de servidor autofirmados para conexiones en la nube. Un atacante capaz de realizar un ataque man-in-the-middle (MitM) podría explotar este problema para interceptar o manipular el tráfico de red, exponiendo potencialmente credenciales de autenticación o datos de diseño sensibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en hustoj de zhblue (CVE-2026-23873)
Fecha de publicación:
22/01/2026
Idioma:
Español
hustoj es un juez en línea de código abierto basado en PHP/C++/MySQL/Linux para el entrenamiento de ACM/ICPC y NOIP. Todas las versiones son vulnerables a la inyección CSV (inyección de fórmulas) a través de la funcionalidad de exportación de clasificación de concursos (contestrank.xls.php y admin/ranklist_export.php). La aplicación no logra sanear la entrada proporcionada por el usuario (específicamente el campo 'Nickname') antes de exportarla a un archivo .xls (que se renderiza como una tabla HTML pero es abierto por Excel). Si un usuario malicioso establece su apodo a una fórmula de Excel cuando un administrador exporta y abre la lista de clasificación en Microsoft Excel, la fórmula será ejecutada. Esto puede llevar a la ejecución arbitraria de comandos (RCE) en la máquina del administrador o a la exfiltración de datos. Una solución no estaba disponible en el momento de la publicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/02/2026

Vulnerabilidad en Group-Office (CVE-2026-23887)
Fecha de publicación:
22/01/2026
Idioma:
Español
Group-Office es una herramienta de gestión de relaciones con clientes (CRM) y groupware empresarial. En las versiones 6.8.148 e inferiores, y de la 25.0.1 a la 25.0.79, la aplicación almacena nombres de archivo sin sanear en la base de datos, lo que puede conducir a un Cross-Site Scripting Almacenado (XSS). Esto afecta a los usuarios que interactúan con estos nombres de archivo especialmente diseñados dentro de la aplicación Group-Office. Aunque el alcance se limita al contexto de visualización de archivos, aún podría utilizarse para interferir con las sesiones de los usuarios o realizar acciones no deseadas en el navegador. Este problema se ha solucionado en las versiones 6.8.149 y 25.0.80.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/02/2026

Vulnerabilidad en Photo Gallery (CVE-2026-1036)
Fecha de publicación:
22/01/2026
Idioma:
Español
El plugin Photo Gallery por 10Web – Mobile-Friendly Image Gallery para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función delete_comment() en todas las versiones hasta la 1.8.36, inclusive. Esto hace posible que atacantes no autenticados eliminen comentarios de imágenes arbitrarios. Nota: la funcionalidad de comentarios solo está disponible en la versión Pro del plugin.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades