Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en MCP-Salesforce (CVE-2026-25650)
Fecha de publicación:
06/02/2026
Idioma:
Español
El Conector MCP para Salesforce es una implementación de servidor del Protocolo de Contexto de Modelo (MCP) para la integración con Salesforce. Antes de la 0.1.10, el acceso arbitrario a atributos conduce a la divulgación del token de autenticación de Salesforce. Esta vulnerabilidad se corrigió en la 0.1.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en Tgies (CVE-2026-25651)
Fecha de publicación:
06/02/2026
Idioma:
Español
client-certificate-auth es un middleware para Node.js que implementa autenticación/autorización de certificados SSL de cliente. Las versiones 0.2.1 y 0.3.0 de client-certificate-auth contienen una vulnerabilidad de redirección abierta. El middleware redirige incondicionalmente las solicitudes HTTP a HTTPS utilizando el encabezado Host no validado, permitiendo a un atacante redirigir a los usuarios a dominios arbitrarios. Esta vulnerabilidad está corregida en 1.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en Openstamanager (CVE-2026-24418)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenSTAManager es un software de gestión de código abierto para asistencia técnica y facturación. OpenSTAManager v2.9.8 y versiones anteriores contienen una crítica vulnerabilidad de inyección SQL basada en errores en el manejador de operaciones masivas para el módulo Scadenzario (Calendario de Pagos). La aplicación no valida que los elementos del array id_records sean enteros antes de usarlos en una cláusula SQL IN(), permitiendo a los atacantes inyectar comandos SQL arbitrarios y extraer datos sensibles a través de mensajes de error XPATH.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en Reva de Opencloud-eu (CVE-2026-23989)
Fecha de publicación:
06/02/2026
Idioma:
Español
REVA es una plataforma de interoperabilidad. Antes de las versiones 2.42.3 y 2.40.3, un error en el middleware de autorización GRPC del componente 'Reva' de OpenCloud permite a un usuario malintencionado eludir la verificación de alcance de un enlace público. Al explotar esto a través del servicio 'archiver', se puede aprovechar para crear un archivo (zip o tar) que contenga todos los recursos a los que tiene acceso el creador de dicho enlace público. Esta vulnerabilidad está corregida en las versiones 2.42.3 y 2.40.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en Zulip (CVE-2026-24050)
Fecha de publicación:
06/02/2026
Idioma:
Español
Zulip es una herramienta de colaboración en equipo de código abierto. Desde la versión 5.0 hasta antes de la 11.5, algunas acciones administrativas en el perfil de usuario eran susceptibles a XSS almacenado en nombres de grupos o nombres de canales. La explotación de estas vulnerabilidades requería que el usuario interactuara explícitamente con el objeto problemático. Esta vulnerabilidad está corregida en la 11.5.
Gravedad CVSS v4.0: BAJA
Última modificación:
23/02/2026

Vulnerabilidad en Openstamanager (CVE-2026-24416)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenSTAManager es un software de gestión de código abierto para asistencia técnica y facturación. OpenSTAManager v2.9.8 y versiones anteriores contienen una crítica vulnerabilidad de inyección SQL ciega basada en tiempo en el manejador de completado de precios de artículos. La aplicación no logra sanear correctamente el parámetro idarticolo antes de usarlo en consultas SQL, permitiendo a los atacantes inyectar comandos SQL arbitrarios y extraer datos sensibles a través de inferencia booleana basada en tiempo.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en Openstamanager (CVE-2026-24417)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenSTAManager es un software de gestión de código abierto para asistencia técnica y facturación. OpenSTAManager v2.9.8 y versiones anteriores contienen una crítica vulnerabilidad de inyección SQL ciega basada en tiempo en la funcionalidad de búsqueda global. La aplicación no logra sanear correctamente el parámetro term antes de usarlo en cláusulas SQL LIKE a través de múltiples manejadores de búsqueda específicos de módulo, permitiendo a los atacantes inyectar comandos SQL arbitrarios y extraer datos sensibles a través de inferencia booleana basada en tiempo.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en openstamanager p7m (CVE-2025-69212)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenSTAManager es un software de gestión de código abierto para asistencia técnica y facturación. En la versión 2.9.8 y anteriores, existe una vulnerabilidad crítica de inyección de comandos del sistema operativo en la funcionalidad de decodificación de archivos P7M (XML firmado). Un atacante autenticado puede cargar un archivo ZIP que contenga un archivo .p7m con un nombre de archivo malicioso para ejecutar comandos arbitrarios del sistema en el servidor.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
09/02/2026

Vulnerabilidad en Openstamanager (CVE-2025-69214)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenSTAManager es un software de gestión de código abierto para asistencia técnica y facturación. En la versión 2.9.8 y anteriores, existe una vulnerabilidad de inyección SQL en el endpoint ajax_select.php al manejar la operación componenti. Un atacante autenticado puede inyectar código SQL malicioso a través del parámetro options[matricola].
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en Openstamanager (CVE-2025-69216)
Fecha de publicación:
06/02/2026
Idioma:
Español
OpenSTAManager es un software de gestión de código abierto para asistencia técnica y facturación. En la versión 2.9.8 y anteriores, una vulnerabilidad de inyección SQL autenticada en la plantilla de impresión Scadenzario (Calendario de Pagos) de OpenSTAManager permite a cualquier usuario autenticado extraer datos sensibles de la base de datos, incluyendo credenciales de administrador, información de clientes y registros financieros. La vulnerabilidad existe en templates/scadenzario/init.php, donde el parámetro id_anagrafica se concatena directamente en una consulta SQL sin una sanitización adecuada. La vulnerabilidad permite acceso completo de lectura a la base de datos a través de técnicas de inyección SQL basadas en errores.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en en code-projects Simple Blood Donor Management System (CVE-2026-2060)
Fecha de publicación:
06/02/2026
Idioma:
Español
Una vulnerabilidad fue encontrada en code-projects Simple Blood Donor Management System 1.0. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /simpleblooddonor/editcampaignform.php. Realizar una manipulación del argumento ID resulta en inyección SQL. Es posible iniciar el ataque remotamente. El exploit ha sido hecho público y podría ser usado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en d-link dir-823x (CVE-2026-2061)
Fecha de publicación:
06/02/2026
Idioma:
Español
Se determinó una vulnerabilidad en D-Link DIR-823X 250416. La función sub_424D20 del archivo /goform/set_ipv6 se ve afectada por este problema. La ejecución de una manipulación puede conducir a una inyección de comandos del sistema operativo. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2026
Suscribirse a Vulnerabilidades