Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Server de Devolutions (CVE-2026-0610)
Fecha de publicación:
19/01/2026
Idioma:
Español
Vulnerabilidad de inyección SQL en sesiones remotas en Devolutions Server. Este problema afecta a Devolutions Server 2025.3.1 hasta 2025.3.12
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/02/2026

Vulnerabilidad en Server de Devolutions (CVE-2026-1007)
Fecha de publicación:
19/01/2026
Idioma:
Español
Vulnerabilidad de autorización incorrecta en el componente de puerta de enlace virtual en Devolutions Server permite a los atacantes eludir las reglas de denegación de IP. Este problema afecta a Server: desde 2025.3.1 hasta 2025.3.12.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

Vulnerabilidad en LR350 de Totolink (CVE-2026-1158)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se ha descubierto una falla de seguridad en Totolink LR350 9.3.5u.6369_B20220309. Esta vulnerabilidad afecta a la función setWizardCfg del archivo /cgi-bin/cstecgi.cgi del componente POST Request Handler. Realizar una manipulación del argumento ssid resulta en desbordamiento de búfer. El ataque puede iniciarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en Online Frozen Foods Ordering System de itsourcecode (CVE-2026-1159)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se ha identificado una debilidad en itsourcecode Online Frozen Foods Ordering System 1.0. Este problema afecta algún procesamiento desconocido del archivo /order_online.php. La ejecución de una manipulación del argumento product_name puede llevar a una inyección SQL. El ataque puede lanzarse de forma remota. El exploit se ha puesto a disposición del público y podría usarse para ataques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en LR350 de Totolink (CVE-2026-1157)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se identificó una vulnerabilidad en Totolink LR350 9.3.5u.6369_B20220309. Esto afecta a la función setWiFiEasyCfg del archivo /cgi-bin/cstecgi.cgi. Dicha manipulación del argumento ssid conduce a un desbordamiento de búfer. Es posible lanzar el ataque de forma remota. El exploit está disponible públicamente y podría ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en Totolink LR350 (CVE-2026-1156)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se determinó una vulnerabilidad en Totolink LR350 9.3.5u.6369_B20220309. Afectada por este problema está la función setWiFiBasicCfg del archivo /cgi-bin/cstecgi.cgi. Esta manipulación del argumento ssid causa desbordamiento de búfer. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en Totolink LR350 (CVE-2026-1155)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se encontró una vulnerabilidad en Totolink LR350 9.3.5u.6369_B20220309. Afectada por esta vulnerabilidad es la función setWiFiEasyGuestCfg del archivo /cgi-bin/cstecgi.cgi. La manipulación del argumento ssid resulta en desbordamiento de búfer. El ataque puede realizarse desde remoto. El exploit se ha hecho público y podría utilizarse.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en Altium 365 (CVE-2026-1181)
Fecha de publicación:
19/01/2026
Idioma:
Español
Los puntos finales del espacio de trabajo de Altium 365 fueron configurados con una política de Intercambio de Recursos de Origen Cruzado (CORS) excesivamente permisiva que permitía solicitudes de origen cruzado con credenciales desde otros subdominios controlados por Altium, incluyendo forum.live.altium.com. Como resultado, el JavaScript que se ejecutaba en esos orígenes podía acceder a las API autenticadas del espacio de trabajo en el contexto de un usuario con sesión iniciada. Cuando se encadena con vulnerabilidades en esas aplicaciones externas, esta mala configuración permite el acceso no autorizado a los datos del espacio de trabajo, acciones administrativas y la elusión de los controles de inclusión en lista blanca de IP, incluso en entornos GovCloud.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en mpay de technical-laohu (CVE-2026-1153)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad fue detectada en technical-laohu mpay hasta 1.2.4. Esto afecta a una función desconocida. Realizar una manipulación resulta en falsificación de petición en sitios cruzados. La explotación remota del ataque es posible. El exploit es ahora público y puede ser usado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en E-Learning System de SourceCodester (CVE-2026-1154)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se ha encontrado una falla en SourceCodester E-Learning System 1.0. Esto afecta a una función desconocida del archivo /admin/modules/lesson/index.php del componente Lesson Module Handler. La ejecución de una manipulación del argumento Título/Descripción puede conducir a cross-site scripting básico. El ataque puede ejecutarse de forma remota. El exploit ha sido publicado y puede ser utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en mpay de technical-laohu (CVE-2026-1152)
Fecha de publicación:
19/01/2026
Idioma:
Español
Una vulnerabilidad de seguridad ha sido detectada en technical-laohu mpay hasta 1.2.4. El elemento afectado es una función desconocida del componente QR Code Image Handler. Dicha manipulación del argumento codeimg conduce a una carga sin restricciones. El ataque puede ser lanzado de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en mpay de technical-laohu (CVE-2026-1151)
Fecha de publicación:
19/01/2026
Idioma:
Español
Se ha identificado una debilidad en technical-laohu mpay hasta la versión 1.2.4. El elemento afectado es una función desconocida del componente Centro de Usuarios. Esta manipulación del argumento Nickname causa cross site scripting. El ataque puede ser iniciado remotamente. El exploit ha sido puesto a disposición del público y podría ser utilizado para ataques.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026
Suscribirse a Vulnerabilidades