Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-23766
Fecha de publicación:
15/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2026

Vulnerabilidad en zitadel (CVE-2026-23511)
Fecha de publicación:
15/01/2026
Idioma:
Español
ZITADEL es una plataforma de gestión de identidad de código abierto. Antes de 4.9.1 y 3.4.6, se ha descubierto una vulnerabilidad de enumeración de usuarios en las interfaces de inicio de sesión de Zitadel. Un atacante no autenticado puede explotar esta falla para confirmar la existencia de cuentas de usuario válidas al iterar a través de nombres de usuario y userIDs. Esta vulnerabilidad está corregida en 4.9.1 y 3.4.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en utils de RustCrypto (CVE-2026-23519)
Fecha de publicación:
15/01/2026
Idioma:
Español
RustCrypto CMOV proporciona intrínsecos de CPU de movimiento condicional que están garantizados en las principales plataformas para ejecutarse en tiempo constante y no ser reescritos como bifurcaciones por el compilador. Antes de la versión 0.4.4, el compilador thumbv6m-none-eabi (Cortex M0, M0+ y M1) emite ensamblado de tiempo no constante al usar cmovnz (versión portátil). Esta vulnerabilidad está corregida en la versión 0.4.4.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en arcane de getarcaneapp (CVE-2026-23520)
Fecha de publicación:
15/01/2026
Idioma:
Español
Arcane proporciona gestión moderna de Docker. Antes de 1.13.0, Arcane tiene una inyección de comandos en el servicio de actualización. El servicio de actualización de Arcane soportaba etiquetas de ciclo de vida com.getarcaneapp.arcane.lifecycle.pre-update y com.getarcaneapp.arcane.lifecycle.post-update que permitían definir un comando para ejecutar antes o después de una actualización de contenedor. El valor de la etiqueta se pasa directamente a /bin/sh -c sin saneamiento ni validación. Debido a que cualquier usuario autenticado (no limitado a administradores) puede crear proyectos a través de la API, un atacante puede crear un proyecto que especifica una de estas etiquetas de ciclo de vida con un comando malicioso. Cuando un administrador más tarde activa una actualización de contenedor (ya sea manualmente o mediante comprobaciones de actualización programadas), Arcane lee la etiqueta de ciclo de vida y ejecuta su valor como un comando de shell dentro del contenedor. Esta vulnerabilidad está corregida en 1.13.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/02/2026

Vulnerabilidad en h3 de h3js (CVE-2026-23527)
Fecha de publicación:
15/01/2026
Idioma:
Español
H3 es un framework H(TTP) mínimo diseñado para alto rendimiento y portabilidad. Antes de 1.15.5, existe una vulnerabilidad crítica de contrabando de solicitudes HTTP. readRawBody realiza una comprobación estricta sensible a mayúsculas y minúsculas para el encabezado Transfer-Encoding. Busca explícitamente 'chunked', pero según la RFC, este encabezado debería ser insensible a mayúsculas y minúsculas. Esta vulnerabilidad está corregida en 1.15.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/04/2026

Vulnerabilidad en Instant Financial Issuance (IF) (CVE-2026-23746)
Fecha de publicación:
15/01/2026
Idioma:
Español
El software Entrust Instant Financial Issuance (IFI) On Premise (anteriormente conocido como CardWizard) versiones 5.x, anteriores a la 6.10.5, y anteriores a la 6.11.1 contienen una exposición insegura de .NET Remoting en el servicio SmartCardController (DCG.SmartCardControllerService.exe). El servicio registra un canal de remoting TCP con un formateador/configuración inseguros que permiten la invocación de objetos de remoting no confiables. Un atacante remoto no autenticado que pueda alcanzar el puerto de remoting puede invocar objetos de remoting expuestos para leer archivos arbitrarios del servidor y forzar la autenticación saliente, y puede lograr la escritura arbitraria de archivos y la ejecución remota de código a través de técnicas conocidas de explotación de .NET Remoting. Esto puede llevar a la divulgación de datos sensibles de instalación y de cuentas de servicio y al compromiso del host afectado.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en easyappointments de alextselegidis (CVE-2026-23622)
Fecha de publicación:
15/01/2026
Idioma:
Español
Easy!Appointments es un programador de citas autoalojado. En 1.5.2 y versiones anteriores, application/core/EA_Security.php::csrf_verify() solo aplica CSRF para solicitudes POST y retorna anticipadamente para métodos que no son POST. Varios puntos finales de la aplicación realizan operaciones que cambian el estado mientras aceptan parámetros de GET (o $_REQUEST), por lo que un atacante puede realizar CSRF forzando al navegador de una víctima a emitir una solicitud GET manipulada. Impacto: creación de cuentas de administrador, modificación de correo electrónico/contraseña de administrador y toma de control total de la cuenta de administrador.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/04/2026

Vulnerabilidad en 5ulfur (CVE-2025-65349)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad de cross-site scripting almacenado (XSS) en la interfaz de gestión web en el Each Italy Wireless Mini Router WIRELESS-N 300M v28K.MiniRouter.20190211 permite a los atacantes ejecutar scripts arbitrarios a través de una carga útil manipulada debido a un valor SSID de AP repetidor no saneado cuando se muestra en cualquier página en /index.htm.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en Svelte (CVE-2025-15265)
Fecha de publicación:
15/01/2026
Idioma:
Español
Existe una vulnerabilidad de tipo SSR XSS en la hidratación asíncrona cuando se pasan claves controladas por el atacante a `hydratable`. La clave se incrusta dentro de un bloque `` termine el script e inyecte código JavaScript arbitrario. Esto permite la ejecución remota de scripts en los navegadores de los usuarios, con el riesgo de robo de sesión y compromiso de la cuenta. Este problema afecta a Svelte: desde la versión 5.46.0 hasta la 5.46.3.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en nanomq (CVE-2024-48077)
Fecha de publicación:
15/01/2026
Idioma:
Español
Un problema en nanomq v0.22.7 permite a los atacantes causar una denegación de servicio (DoS) a través de una solicitud manipulada. El número de paquetes de datos recibidos en la cola recv-q del proceso Nanomq continúa aumentando, lo que provoca que el broker nanomq caiga en un interbloqueo y no pueda proporcionar servicios normales.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2026

Vulnerabilidad en kit de sveltejs (CVE-2026-22803)
Fecha de publicación:
15/01/2026
Idioma:
Español
SvelteKit es un framework para desarrollar rápidamente aplicaciones web robustas y de alto rendimiento utilizando Svelte. Desde la versión 2.49.0 hasta la 2.49.4, la función remota experimental de formularios utiliza un formato de datos binarios que contiene una representación de los datos de formulario enviados. Una carga útil especialmente diseñada puede hacer que el servidor asigne una gran cantidad de memoria, causando DoS por agotamiento de memoria. Esta vulnerabilidad está corregida en la versión 2.49.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en Palo Alto Networks (CVE-2026-0227)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad en el software PAN-OS de Palo Alto Networks permite a un atacante no autenticado causar una denegación de servicio (DoS) al cortafuegos. Intentos repetidos de activar este problema resultan en que el cortafuegos entre en modo de mantenimiento.
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/02/2026
Suscribirse a Vulnerabilidades