Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-25812
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** PlaciPy is a placement management system designed for educational institutions. In version 1.0.0, the application enables credentialed CORS requests but does not implement any CSRF protection mechanism.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
10/02/2026

CVE-2026-25813
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** PlaciPy is a placement management system designed for educational institutions. In version 1.0.0, The application logs highly sensitive data directly to console output without masking or redaction.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/02/2026

CVE-2025-15315
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tanium addressed a local privilege escalation vulnerability in Tanium Module Server.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

CVE-2025-15316
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tanium addressed a local privilege escalation vulnerability in Tanium Server.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

CVE-2025-15317
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tanium addressed an uncontrolled resource consumption vulnerability in Tanium Server.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

CVE-2026-25810
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** PlaciPy is a placement management system designed for educational institutions. In version 1.0.0, the backend/src/routes/student.submission.routes.ts verify authentication but fails to enforce object-level authorization (ownership checks).
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026

CVE-2026-25876
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** PlaciPy is a placement management system designed for educational institutions. In version 1.0.0, the backend/src/routes/results.routes.ts verify authentication but fails to enforce object-level authorization (ownership checks). For example, this can be used to return all results for an assessment.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026

CVE-2026-25878
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** FroshAdminer is the Adminer plugin for Shopware Platform. Prior to 2.2.1, the Adminer route (/admin/adminer) was accessible without Shopware admin authentication. The route was configured with auth_required=false and performed no session validation, exposing the Adminer UI to unauthenticated users. This vulnerability is fixed in 2.2.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026

CVE-2026-25639
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Axios is a promise based HTTP client for the browser and Node.js. Prior to 1.13.5, the mergeConfig function in axios crashes with a TypeError when processing configuration objects containing __proto__ as an own property. An attacker can trigger this by providing a malicious configuration object created via JSON.parse(), causing complete denial of service. This vulnerability is fixed in 1.13.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/02/2026

CVE-2026-25740
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** captive browser, a dedicated Chrome instance to log into captive portals without messing with DNS settings. In 25.05 and earlier, when programs.captive-browser is enabled, any user of the system can run arbitrary commands with the CAP_NET_RAW capability (binding to privileged ports, spoofing localhost traffic from privileged services...). This vulnerability is fixed in 25.11 and 26.05.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026

CVE-2026-25761
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Super-linter is a combination of multiple linters to run as a GitHub Action or standalone. From 6.0.0 to 8.3.0, the Super-linter GitHub Action is vulnerable to command injection via crafted filenames. When this action is used in downstream GitHub Actions workflows, an attacker can submit a pull request that introduces a file whose name contains shell command substitution syntax, such as $(...). In affected Super-linter versions, runtime scripts may execute the embedded command during file discovery processing, enabling arbitrary command execution in the workflow runner context. This can be used to disclose the job’s GITHUB_TOKEN depending on how the workflow configures permissions. This vulnerability is fixed in 8.3.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/02/2026

CVE-2026-25765
Fecha de publicación:
09/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Faraday is an HTTP client library abstraction layer that provides a common interface over many adapters. Prior to 2.14.1, Faraday's build_exclusive_url method (in lib/faraday/connection.rb) uses Ruby's URI#merge to combine the connection's base URL with a user-supplied path. Per RFC 3986, protocol-relative URLs (e.g. //evil.com/path) are treated as network-path references that override the base URL's host/authority component. This means that if any application passes user-controlled input to Faraday's get(), post(), build_url(), or other request methods, an attacker can supply a protocol-relative URL like //attacker.com/endpoint to redirect the request to an arbitrary host, enabling Server-Side Request Forgery (SSRF). This vulnerability is fixed in 2.14.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/02/2026
Suscribirse a Vulnerabilidades