Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-25090
Fecha de publicación:
30/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
30/01/2026

CVE-2026-25091
Fecha de publicación:
30/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
30/01/2026

CVE-2026-25092
Fecha de publicación:
30/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
30/01/2026

CVE-2026-25093
Fecha de publicación:
30/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
30/01/2026

CVE-2026-25094
Fecha de publicación:
30/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: Not used
Gravedad: Pendiente de análisis
Última modificación:
30/01/2026

CVE-2025-15322
Fecha de publicación:
30/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tanium addressed an improper access controls vulnerability in Tanium Server.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2026

CVE-2026-1638
Fecha de publicación:
30/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** A security flaw has been discovered in Tenda AC21 1.1.1.1/1.dmzip/16.03.08.16. The impacted element is the function mDMZSetCfg of the file /goform/mDMZSetCfg. The manipulation of the argument dmzIp results in command injection. The attack can be executed remotely. The exploit has been released to the public and may be used for attacks.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/01/2026

CVE-2026-1637
Fecha de publicación:
29/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was identified in Tenda AC21 16.03.08.16. The affected element is the function fromAdvSetMacMtuWan of the file /goform/AdvSetMacMtuWan. The manipulation leads to stack-based buffer overflow. Remote exploitation of the attack is possible. The exploit is publicly available and might be used.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026

CVE-2026-1665
Fecha de publicación:
29/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** A command injection vulnerability exists in nvm (Node Version Manager) versions 0.40.3 and below. The nvm_download() function uses eval to execute wget commands, and the NVM_AUTH_HEADER environment variable was not sanitized in the wget code path (though it was sanitized in the curl code path). An attacker who can set environment variables in a victim's shell environment (e.g., via malicious CI/CD configurations, compromised dotfiles, or Docker images) can inject arbitrary shell commands that execute when the victim runs nvm commands that trigger downloads, such as 'nvm install' or 'nvm ls-remote'.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/01/2026

CVE-2026-25116
Fecha de publicación:
29/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Runtipi is a personal homeserver orchestrator. Starting in version 4.5.0 and prior to version 4.7.2, an unauthenticated Path Traversal vulnerability in the `UserConfigController` allows any remote user to overwrite the system's `docker-compose.yml` configuration file. By exploiting insecure URN parsing, an attacker can replace the primary stack configuration with a malicious one, resulting in full Remote Code Execution (RCE) and host filesystem compromise the next time the instance is restarted by the operator. Version 4.7.2 fixes the vulnerability.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2026

CVE-2026-25117
Fecha de publicación:
29/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** pwn.college DOJO is an education platform for learning cybersecurity. Prior to commit e33da14449a5abcff507e554f66e2141d6683b0a, missing sandboxing on `/workspace/*` routes allows challenge authors to inject arbitrary javascript which runs on the same origin as `http[:]//dojo[.]website`. This is a sandbox escape leading to arbitrary javascript execution as the dojo's origin. A challenge author can craft a page that executes any dangerous actions that the user could. Version e33da14449a5abcff507e554f66e2141d6683b0a patches the issue.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/01/2026

CVE-2026-25126
Fecha de publicación:
29/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** PolarLearn is a free and open-source learning program. Prior to version 0-PRERELEASE-15, the vote API route (`POST /api/v1/forum/vote`) trusts the JSON body’s `direction` value without runtime validation. TypeScript types are not enforced at runtime, so an attacker can send arbitrary strings (e.g., `"x"`) as `direction`. Downstream (`VoteServer`) treats any non-`"up"` and non-`null` value as a downvote and persists the invalid value in `votes_data`. This can be exploited to bypass intended business logic. Version 0-PRERELEASE-15 fixes the vulnerability.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2026
Suscribirse a Vulnerabilidades