Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en lobe-chat de lobehub (CVE-2026-23522)
Fecha de publicación:
19/01/2026
Idioma:
Español
LobeChat es una plataforma de aplicación de chat de código abierto. Antes de la versión 2.0.0-next.193, el endpoint tRPC 'knowledgeBase.removeFilesFromKnowledgeBase' permite a los usuarios autenticados eliminar archivos de cualquier base de conocimiento sin verificar la propiedad. El filtro 'userId' en la consulta de la base de datos está comentado, lo que permite a los atacantes eliminar archivos de KB de otros usuarios si conocen el ID de la base de conocimiento y el ID del archivo. Aunque la vulnerabilidad está confirmada, la explotación práctica requiere conocer el ID de KB del objetivo y el ID del archivo del objetivo. Estos ID son aleatorios y no son fácilmente enumerables. Sin embargo, los ID pueden filtrarse a través de enlaces compartidos, registros, encabezados de referencia y demás. La falta de verificación de autorización es una falla de seguridad crítica de todos modos. Los usuarios deben actualizar a la versión 2.0.0-next.193 para recibir un parche.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en hrms de pbrong (CVE-2026-1161)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad fue detectada en pbrong hrms 1.0.1. El elemento afectado es la función UpdateRecruitmentById del archivo /handler/recruitment.go. La manipulación resulta en cross site scripting. El ataque puede ser lanzado remotamente. El exploit es ahora público y puede ser usado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en middie de fastify (CVE-2026-22031)
Fecha de publicación:
19/01/2026
Idioma:
Español
@fastify/middie es el plugin que añade soporte de middleware potenciado a Fastify. Una vulnerabilidad de seguridad existe en @fastify/middie anterior a la versión 9.1.0 donde el middleware registrado con un prefijo de ruta específico puede ser evadido usando caracteres codificados en URL (p. ej., '/%61dmin' en lugar de '/admin'). Mientras que el motor de middleware falla al coincidir con la ruta codificada y omite la ejecución, el router subyacente de Fastify decodifica correctamente la ruta y coincide con el manejador de ruta, permitiendo a los atacantes acceder a puntos finales protegidos sin las restricciones del middleware. La versión 9.1.0 corrige el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/05/2026

Vulnerabilidad en quicly de h2o (CVE-2025-61684)
Fecha de publicación:
19/01/2026
Idioma:
Español
Quicly, una implementación del protocolo QUIC de IETF, es susceptible a un ataque de denegación de servicio anterior al commit d9d3df6a8530a102b57d840e39b0311ce5c9e14e. Un atacante remoto puede explotar estos errores para desencadenar un fallo de aserción que bloquea el proceso que usa Quicly. El commit d9d3df6a8530a102b57d840e39b0311ce5c9e14e soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en WeasyPrint de Kozea (CVE-2025-68616)
Fecha de publicación:
19/01/2026
Idioma:
Español
WeasyPrint ayuda a los desarrolladores web a crear documentos PDF. Antes de la versión 68.0, existe una omisión de protección de falsificación de petición del lado del servidor (SSRF) en el `default_url_fetcher` de WeasyPrint. La vulnerabilidad permite a los atacantes acceder a recursos de red internos (como servicios de `localhost` o puntos finales de metadatos en la nube) incluso cuando un desarrollador ha implementado un `url_fetcher` personalizado para bloquear dicho acceso. Esto ocurre porque la librería `urllib` subyacente sigue las redirecciones HTTP automáticamente sin revalidar el nuevo destino contra la política de seguridad del desarrollador. La versión 68.0 contiene un parche para el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Automation Runtime de B&R Industrial Automation GmbH (CVE-2025-11044)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad de asignación de recursos sin límites ni limitación en el componente ANSL-Server de las versiones de B&R Automation Runtime anteriores a 6.5 y anteriores a R4.93 podría ser explotada por un atacante no autenticado en la red para ganar una condición de carrera, resultando en condiciones permanentes de denegación de servicio (DoS) en los dispositivos afectados.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Directory Management System de PHPGurukul (CVE-2026-1160)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en PHPGurukul Directory Management System 1.0. Afectada es una función desconocida del archivo /index.php del componente Search. La manipulación del argumento searchdata conduce a inyección SQL. El ataque puede ser iniciado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en Automation Studio (CVE-2025-11043)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad de validación de certificado incorrecta en el cliente OPC-UA y el cliente ANSL sobre TLS utilizada en versiones de Automation Studio anteriores a la 6.5 podría permitir a un atacante no autenticado en la red posicionarse para interceptar e interferir con los intercambios de datos.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en hexpm (CVE-2026-21618)
Fecha de publicación:
19/01/2026
Idioma:
Español
Neutralización Inadecuada de la Entrada Durante la Generación de Páginas Web (XSS o &amp;#39;cross-site scripting&amp;#39;) vulnerabilidad en hexpm hexpm/hexpm (módulos &amp;#39;Elixir.HexpmWeb.SharedAuthorizationView&amp;#39;) permite cross-site scripting (XSS). Esta vulnerabilidad está asociada con los archivos de programa lib/hexpm_web/views/shared_authorization_view.ex y las rutinas de programa &amp;#39;Elixir.HexpmWeb.SharedAuthorizationView&amp;#39;:render_grouped_scopes/3.<br /> <br /> Este problema afecta a hexpm: desde 617e44c71f1dd9043870205f371d375c5c4d886d antes de c692438684ead90c3bcbfb9ccf4e63c768c668a8, desde pkg:github/hexpm/hexpm@617e44c71f1dd9043870205f371d375c5c4d886d antes de pkg:github/hexpm/hexpm@c692438684ead90c3bcbfb9ccf4e63c768c668a8; hex.pm: desde 2025-10-01 antes de 2026-01-19.
Gravedad CVSS v4.0: ALTA
Última modificación:
06/04/2026

Vulnerabilidad en Server de Devolutions (CVE-2026-0610)
Fecha de publicación:
19/01/2026
Idioma:
Español
Vulnerabilidad de inyección SQL en sesiones remotas en Devolutions Server. Este problema afecta a Devolutions Server 2025.3.1 hasta 2025.3.12
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/02/2026

Vulnerabilidad en Server de Devolutions (CVE-2026-1007)
Fecha de publicación:
19/01/2026
Idioma:
Español
Vulnerabilidad de autorización incorrecta en el componente de puerta de enlace virtual en Devolutions Server permite a los atacantes eludir las reglas de denegación de IP. Este problema afecta a Server: desde 2025.3.1 hasta 2025.3.12.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en LR350 de Totolink (CVE-2026-1158)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en Totolink LR350 9.3.5u.6369_B20220309. Esta vulnerabilidad afecta a la función setWizardCfg del archivo /cgi-bin/cstecgi.cgi del componente POST Request Handler. Realizar una manipulación del argumento ssid resulta en desbordamiento de búfer. El ataque puede iniciarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026
Suscribirse a Vulnerabilidades