Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Apache Airflow (CVE-2025-68438)
Fecha de publicación:
16/01/2026
Idioma:
Español
En versiones de Apache Airflow anteriores a la 3.1.6, cuando los campos de plantilla renderizados en un DAG exceden [core] max_templated_field_length, valores sensibles podrían quedar expuestos en texto claro en la interfaz de usuario de Plantillas Renderizadas. Esto ocurrió porque la serialización de esos campos utilizaba una instancia de enmascarador de secretos que no incluía patrones mask_secret() registrados por el usuario, por lo que los secretos no se enmascaraban de forma fiable antes de la truncación y visualización.<br /> <br /> Se recomienda a los usuarios actualizar a la 3.1.6 o posterior, lo que corrige este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en Apache Airflow (CVE-2025-68675)
Fecha de publicación:
16/01/2026
Idioma:
Español
En versiones de Apache Airflow anteriores a la 3.1.6, los campos proxies y proxy dentro de una Conexión pueden incluir URLs de proxy que contienen información de autenticación incrustada. Estos campos no se trataban como sensibles por defecto y, por lo tanto, no se enmascaraban automáticamente en la salida de los registros. Como resultado, cuando dichas conexiones se renderizan o se imprimen en los registros, las credenciales de proxy incrustadas en estos campos podrían quedar expuestas.<br /> <br /> Se recomienda a los usuarios actualizar a la versión 3.1.6 o posterior, lo que soluciona este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en MyXalytics de HCL Software (CVE-2025-59870)
Fecha de publicación:
16/01/2026
Idioma:
Español
HCL MyXalytics se ve afectado por la gestión inadecuada de un secreto de firma JWT estático en la aplicación web, donde el secreto carece de rotación, introduciendo un riesgo de seguridad.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en plugin Membership para WordPress (CVE-2025-14844)
Fecha de publicación:
16/01/2026
Idioma:
Español
El plugin Membership Plugin – Restrict Content para WordPress es vulnerable a Autenticación Faltante en todas las versiones hasta la 3.2.16, inclusive, a través de la función &amp;#39;rcp_stripe_create_setup_intent_for_saved_card&amp;#39; debido a la falta de verificación de capacidad. Además, el plugin no verifica una clave controlada por el usuario, lo que hace posible que atacantes no autenticados filtren valores client_secret de Stripe SetupIntent para cualquier membresía.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en múltiples cámaras en red TRIFORA 3 series de TOA Corporation (CVE-2026-22876)
Fecha de publicación:
16/01/2026
Idioma:
Español
Una vulnerabilidad de salto de ruta existe en múltiples cámaras de red de la serie TRIFORA 3 proporcionadas por TOA Corporation. Si se explota esta vulnerabilidad, archivos arbitrarios en el producto afectado pueden ser recuperados por un usuario autenticado con privilegios bajos (&amp;#39;usuario de monitoreo&amp;#39;) o superiores.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en múltiples cámaras en red TRIFORA 3 series de TOA Corporation (CVE-2026-20759)
Fecha de publicación:
16/01/2026
Idioma:
Español
Vulnerabilidad de inyección de comandos del sistema operativo existe en múltiples cámaras de red de la serie TRIFORA 3 proporcionadas por TOA Corporation, lo que podría permitir a un usuario autenticado con el privilegio bajo (&amp;#39;usuario de monitoreo&amp;#39;) o superior ejecutar un comando arbitrario del sistema operativo.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en múltiples cámaras en red TRIFORA 3 series de TOA Corporation (CVE-2026-20894)
Fecha de publicación:
16/01/2026
Idioma:
Español
Existe una vulnerabilidad de cross-site scripting en múltiples cámaras de red serie TRIFORA 3 proporcionadas por TOA Corporation. Si un administrador atacante configura el producto afectado con alguna entrada maliciosa, un script arbitrario puede ser ejecutado en el navegador de un administrador víctima que accede a la pantalla de configuración.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en plugin Essential Addons para Elementor para WordPress (CVE-2026-1004)
Fecha de publicación:
16/01/2026
Idioma:
Español
El plugin Essential Addons para Elementor para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta la 6.5.5 inclusive a través de la función &amp;#39;eael_product_quickview_popup&amp;#39;. Esto hace posible que atacantes no autenticados recuperen información de productos de WooCommerce para productos con estado de borrador, pendiente o privado, que normalmente debería estar restringida.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en plugin User Submitted Posts (CVE-2026-0913)
Fecha de publicación:
16/01/2026
Idioma:
Español
El plugin User Submitted Posts – Enable Users a Submit Posts from the Front End para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode &amp;#39;usp_access&amp;#39; del plugin en todas las versiones hasta, e incluyendo, 20260110 debido a una sanitización de entrada y escape de salida insuficientes en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Apache bRPC (CVE-2025-60021)
Fecha de publicación:
16/01/2026
Idioma:
Español
Vulnerabilidad de inyección de comandos remota en el servicio integrado de perfilador de heap en Apache bRPC ((todas las versiones &amp;lt; 1.15.0)) en todas las plataformas permite al atacante inyectar comandos remotos.<br /> <br /> Causa Raíz: El servicio integrado de perfilador de heap de bRPC (/pprof/heap) no valida el parámetro extra_options proporcionado por el usuario y lo ejecuta como un argumento de línea de comandos. Los atacantes pueden ejecutar comandos remotos utilizando el parámetro extra_options..<br /> <br /> Escenarios afectados: Uso del servicio integrado de perfilador de heap de bRPC para realizar el perfilado de memoria de jemalloc.<br /> <br /> Cómo Solucionarlo: proporcionamos dos métodos, puede elegir uno de ellos:<br /> <br /> 1. Actualice bRPC a la versión 1.15.0.<br /> 2. Aplique este parche ( https://github.com/apache/brpc/pull/3101 ) manualmente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2026

Vulnerabilidad en Mattermost (CVE-2025-14822)
Fecha de publicación:
16/01/2026
Idioma:
Español
Las versiones de Mattermost 10.11.x &amp;lt;= 10.11.8 no validan el tamaño de la entrada antes de procesar los hashtags, lo que permite a un atacante autenticado agotar los recursos de la CPU a través de una única solicitud HTTP que contiene una publicación con miles de tokens separados por espacios.
Gravedad CVSS v3.1: BAJA
Última modificación:
20/01/2026

Vulnerabilidad en Cost Calculator Builder de stylemix (CVE-2025-14757)
Fecha de publicación:
16/01/2026
Idioma:
Español
El plugin Cost Calculator Builder para WordPress es vulnerable a la Omisión de Estado de Pago No Autenticado en todas las versiones hasta la 3.6.9, inclusive, solo cuando se usa en combinación con Cost Calculator Builder PRO. Esto se debe a que la acción AJAX complete_payment se registra a través de wp_ajax_nopriv, haciéndola accesible a usuarios no autenticados, y la función complete() solo verifica un nonce sin comprobar las capacidades del usuario o la propiedad del pedido. Dado que los nonces están expuestos a todos los visitantes a través de window.ccb_nonces en el código fuente de la página, cualquier atacante no autenticado puede marcar el estado de pago de cualquier pedido como &amp;#39;completado&amp;#39; sin un pago real.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2026
Suscribirse a Vulnerabilidades