Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Libsndfile (CVE-2025-56226)
Fecha de publicación:
14/01/2026
Idioma:
Español
Libsndfile <=1.2.2 contiene una vulnerabilidad de fuga de memoria en la función mpeg_l3_encoder_init() dentro del archivo mpeg_l3_encode.c.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/01/2026

Vulnerabilidad en Crazy Bubble Tea de Emaintenance (CVE-2025-14317)
Fecha de publicación:
14/01/2026
Idioma:
Español
En la aplicación móvil Crazy Bubble Tea, un atacante autenticado puede obtener información personal sobre otros usuarios al enumerar un parámetro &amp;#39;loyaltyGuestId&amp;#39;. El servidor no verifica los permisos necesarios para obtener los datos.<br /> <br /> Este problema se solucionó en la versión 915 (Android) y 7.4.1 (iOS).
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en SafeQ 6 de YSoft (CVE-2025-13175)
Fecha de publicación:
14/01/2026
Idioma:
Español
Y Soft SafeQ 6 renderiza el campo de contraseña del Conector de Flujo de Trabajo de una manera que permite a un administrador con acceso a la interfaz de usuario revelar el valor utilizando las herramientas de desarrollador/inspección del navegador. Los clientes afectados son solo aquellos con un conector de flujo de trabajo de escaneo protegido con contraseña. Este problema afecta a Y Soft SafeQ 6 en versiones anteriores a MU106.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Apache Camel Neo4j (CVE-2025-66169)
Fecha de publicación:
14/01/2026
Idioma:
Español
Vulnerabilidad de inyección Cypher en el componente camel-neo4j de Apache Camel.<br /> <br /> Este problema afecta a Apache Camel: desde 4.10.0 antes de 4.10.8, desde 4.14.0 antes de 4.14.3, desde 4.15.0 antes de 4.17.0<br /> <br /> Se recomienda a los usuarios actualizar a la versión 4.10.8 para 4.10.x LTS y 4.14.3 para 4.14.x LTS y 4.17.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2026

Vulnerabilidad en inputplumber de ShadowBlip (CVE-2025-66005)
Fecha de publicación:
14/01/2026
Idioma:
Español
Falta de autorización de la interfaz D-Bus de InputManager en versiones de InputPlumber anteriores a la v0.63.0 puede conducir a Denegación de Servicio local, fuga de información o incluso escalada de privilegios en el contexto de la sesión de usuario actualmente activa.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en TLP de linrunner (CVE-2025-67859)
Fecha de publicación:
14/01/2026
Idioma:
Español
Una vulnerabilidad de autenticación impropia en TLP permite a usuarios locales controlar arbitrariamente el perfil de energía en uso, así como la configuración de registro del demonio. Este problema afecta a TLP: desde 1.9 antes de 1.9.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en inputplumber (CVE-2025-14338)
Fecha de publicación:
14/01/2026
Idioma:
Español
La autenticación de Polkit está deshabilitada por defecto y una condición de carrera en la verificación de autorización de Polkit en versiones anteriores a la v0.69.0 puede conducir a los mismos problemas que en CVE-2025-66005.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Arm (CVE-2025-0647)
Fecha de publicación:
14/01/2026
Idioma:
Español
En ciertos CPUs Arm, una instrucción CPP RCTX ejecutada en un Elemento de Procesamiento (PE) puede inhibir la invalidación de la TLB cuando se emite una TLBI al PE, ya sea por el mismo PE o por otro PE en el dominio de compartibilidad. En este caso, el PE puede retener entradas TLB obsoletas que deberían haber sido invalidadas por la TLBI.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/01/2026

Vulnerabilidad en Kibana de Elastic (CVE-2026-0532)
Fecha de publicación:
14/01/2026
Idioma:
Español
Control Externo de Nombre o Ruta de Archivo (CWE-73) combinado con Falsificación de Petición del Lado del Servidor (CWE-918) puede permitir a un atacante causar la divulgación arbitraria de archivos a través de una carga útil JSON de credenciales especialmente diseñada en la configuración del conector de Google Gemini. Esto requiere que un atacante tenga acceso autenticado con privilegios suficientes para crear o modificar conectores (Alertas y Conectores: Todos). El servidor procesa una configuración sin la validación adecuada, permitiendo peticiones de red arbitrarias y lecturas de archivos arbitrarias.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Packetbeat de Elastic (CVE-2026-0529)
Fecha de publicación:
14/01/2026
Idioma:
Español
Validación incorrecta de índice de array (CWE-129) en el analizador del protocolo MongoDB de Packetbeat puede permitir a un atacante causar desbordamientos de búfer (CAPEC-100) a través de tráfico de red especialmente diseñado. Esto requiere que un atacante envíe una carga útil malformada a una interfaz de red monitoreada donde el análisis del protocolo MongoDB está habilitado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Modular DS (CVE-2026-23550)
Fecha de publicación:
14/01/2026
Idioma:
Español
Vulnerabilidad de asignación de privilegios incorrecta en Modular DS permite la escalada de privilegios. Este problema afecta a Modular DS: desde n/a hasta 2.5.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/04/2026

Vulnerabilidad en Short Link de prasannasp (CVE-2026-0813)
Fecha de publicación:
14/01/2026
Idioma:
Español
El plugin Short Link para WordPress es vulnerable a cross-site scripting almacenado a través de los parámetros &amp;#39;short_link_post_title&amp;#39; y &amp;#39;short_link_page_title&amp;#39; en todas las versiones hasta la 1.0, inclusive, debido a una sanitización de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de nivel de administrador y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades