Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-20750)
Fecha de publicación:
22/01/2026
Idioma:
Español
Gitea no valida correctamente la titularidad de los proyectos en las operaciones de proyectos de la organización. Un usuario con permisos de escritura en proyectos de una organización podría modificar proyectos pertenecientes a una organización diferente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/01/2026

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-20800)
Fecha de publicación:
22/01/2026
Idioma:
Español
La API de notificaciones de Gitea no revalida los permisos de acceso al repositorio al devolver los detalles de la notificación. Después de que se revoque el acceso de un usuario a un repositorio privado, aún pueden ver los títulos de las incidencias y las solicitudes de extracción a través de notificaciones recibidas previamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-20883)
Fecha de publicación:
22/01/2026
Idioma:
Español
La API del cronómetro de Gitea no revalida los permisos de acceso al repositorio. Después de que se revoca el acceso de un usuario a un repositorio privado, aún pueden ver los títulos de las incidencias y los nombres de los repositorios a través de cronómetros iniciados previamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-20888)
Fecha de publicación:
22/01/2026
Idioma:
Español
Gitea no verifica correctamente la autorización al cancelar fusiones automáticas programadas a través de la interfaz web. Un usuario con acceso de lectura a las solicitudes de extracción podría cancelar fusiones automáticas programadas por otros usuarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Hubitat (CVE-2026-1201)
Fecha de publicación:
22/01/2026
Idioma:
Español
Una vulnerabilidad de elusión de autorización a través de una clave controlada por el usuario en los controladores de automatización del hogar Hubitat Elevation anteriores a la versión 2.4.2.157 podría permitir a un usuario remoto autenticado controlar dispositivos conectados fuera de su ámbito de autorización mediante la manipulación de solicitudes del lado del cliente.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Gitea Open Source Git Server (CVE-2026-0798)
Fecha de publicación:
22/01/2026
Idioma:
Español
Gitea puede enviar correos electrónicos de notificación de lanzamiento para repositorios privados a usuarios cuyo acceso ha sido revocado. Cuando un repositorio cambia de público a privado, los usuarios que previamente seguían el repositorio pueden seguir recibiendo notificaciones de lanzamiento, divulgando potencialmente títulos de lanzamiento, etiquetas y contenido.
Gravedad CVSS v3.1: BAJA
Última modificación:
29/01/2026

Vulnerabilidad en TP-Link Systems Inc. (CVE-2025-9289)
Fecha de publicación:
22/01/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) fue identificada en un parámetro en los Controladores Omada debido a una sanitización de entrada inadecuada. La explotación requiere condiciones avanzadas, como el posicionamiento en la red o la emulación de una entidad de confianza, y la interacción del usuario por parte de un administrador autenticado. Si tiene éxito, un atacante podría ejecutar JavaScript arbitrario en el navegador del administrador, exponiendo potencialmente información sensible y comprometiendo la confidencialidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en Weintek (CVE-2025-14750)
Fecha de publicación:
22/01/2026
Idioma:
Español
La aplicación web no verifica suficientemente las entradas que se asumen como inmutables pero que en realidad son controlables externamente. Un usuario de bajo privilegio puede modificar los parámetros y potencialmente manipular los privilegios a nivel de cuenta.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Weintek (CVE-2025-14751)
Fecha de publicación:
22/01/2026
Idioma:
Español
Un usuario de bajo privilegio puede omitir las credenciales de la cuenta sin confirmar el estado de autenticación actual del usuario, lo que puede llevar a una escalada de privilegios no autorizada.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Spring (CVE-2025-22234)
Fecha de publicación:
22/01/2026
Idioma:
Español
La corrección aplicada en CVE-2025-22228 rompió inadvertidamente la mitigación de ataques de temporización implementada en DaoAuthenticationProvider. Esto puede permitir a los atacantes inferir nombres de usuario válidos u otro comportamiento de autenticación a través de diferencias en el tiempo de respuesta bajo ciertas configuraciones.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en PowerScale OneFS de Dell (CVE-2026-22281)
Fecha de publicación:
22/01/2026
Idioma:
Español
Dell PowerScale OneFS, versiones 9.5.0.0 a 9.5.1.5, versiones 9.6.0.0 a 9.7.1.10, versiones 9.8.0.0 a 9.10.1.3, versiones a partir de 9.11.0.0 y anteriores a 9.13.0.0, contiene una vulnerabilidad de condición de carrera de tipo Time-of-check Time-of-use (TOCTOU). Un atacante con privilegios bajos con acceso a la red adyacente podría potencialmente explotar esta vulnerabilidad, lo que llevaría a una denegación de servicio.
Gravedad CVSS v3.1: BAJA
Última modificación:
28/01/2026

Vulnerabilidad en PowerScale OneFS de Dell (CVE-2026-22280)
Fecha de publicación:
22/01/2026
Idioma:
Español
Dell PowerScale OneFS, versiones 9.5.0.0 hasta 9.5.1.5, versiones 9.6.0.0 hasta 9.7.1.10, versiones 9.8.0.0 hasta 9.10.1.3, versiones a partir de 9.11.0.0 y anteriores a 9.13.0.0, contiene una vulnerabilidad de asignación de permisos incorrecta para un recurso crítico. Un atacante con privilegios bajos y acceso local podría potencialmente explotar esta vulnerabilidad, lo que podría llevar a una denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2026
Suscribirse a Vulnerabilidades