Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en LavinMQ de Cloudamqp (CVE-2026-25768)
Fecha de publicación:
12/02/2026
Idioma:
Español
LavinMQ es un servidor de cola de mensajes y streaming de alto rendimiento. Antes de la versión 2.6.6, un usuario autenticado podía acceder a metadatos en el broker a los que no debería tener acceso. Esta vulnerabilidad está corregida en la versión 2.6.6.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en authentik de Goauthentik (CVE-2026-25227)
Fecha de publicación:
12/02/2026
Idioma:
Español
authentik es un proveedor de identidad de código abierto. Desde 2021.3.1 hasta antes de 2025.8.6, 2025.10.4 y 2025.12.4, al usar permisos delegados, un Usuario que tiene el permiso Can view * Property Mapping o Can view Expression Policy es capaz de ejecutar código arbitrario dentro del contenedor del servidor authentik a través del endpoint de prueba, el cual está destinado a previsualizar cómo funciona un mapeo de propiedades/política. authentik 2025.8.6, 2025.10.4 y 2025.12.4 solucionan este problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/02/2026

Vulnerabilidad en authentik de Goauthentik (CVE-2026-25748)
Fecha de publicación:
12/02/2026
Idioma:
Español
authentik es un proveedor de identidad de código abierto. Antes de las versiones 2025.10.4 y 2025.12.4, con una cookie malformada era posible eludir la autenticación al usar la autenticación de reenvío en el Proveedor de Proxy de authentik cuando se utilizaba junto con Traefik o Caddy como proxy inverso. Cuando se utilizaba una cookie maliciosa, ninguno de los encabezados X-Authentik-* específicos de authentik se establecía, lo que, dependiendo de la aplicación, podía conceder acceso a un atacante. authentik 2025.10.4 y 2025.12.4 solucionan este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en authentik de Goauthentik (CVE-2026-25922)
Fecha de publicación:
12/02/2026
Idioma:
Español
authentik es un proveedor de identidad de código abierto. Antes de 2025.8.6, 2025.10.4 y 2025.12.4, al usar una Fuente SAML que tiene la opción Verificar Firma de Aserción bajo Certificado de Verificación habilitada y no Verificar Firma de Respuesta, o no tiene la configuración de Certificado de Cifrado bajo la configuración de Protocolo Avanzado configurada, era posible para un atacante inyectar una aserción maliciosa antes de la aserción firmada que authentik usaría en su lugar. authentik 2025.8.6, 2025.10.4 y 2025.12.4 solucionan este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2026

Vulnerabilidad en Element Server Suite Community Edition (CVE-2026-24044)
Fecha de publicación:
12/02/2026
Idioma:
Español
Element Server Suite Community Edition (ESS Community) despliega una pila de Matrix utilizando los gráficos Helm proporcionados y la distribución de Kubernetes. El hook de inicialización de secretos del gráfico Helm de ESS Community (utilizando el contenedor matrix-tools anterior a la versión 0.5.7) está utilizando un método inseguro de generación de claves de servidor de Matrix, permitiendo a los atacantes de red recrear potencialmente el mismo par de claves, lo que les permite suplantar al servidor víctima. El secreto es generado por el hook de inicialización de secretos, en los valores del gráfico Helm de ESS Community, si tanto initSecrets.enabled no está configurado como falso y synapse.signingKey no está definido. Dado que una clave de servidor en Matrix autentica tanto las solicitudes originadas desde como los eventos construidos en un servidor dado, esto impacta potencialmente la confidencialidad, integridad y disponibilidad de las salas que tienen un servidor vulnerable presente como miembro. La confidencialidad de las conversaciones pasadas en salas cifradas de extremo a extremo no se ve afectada. El problema de generación de claves fue solucionado en matrix-tools 0.5.7, lanzado como parte del gráfico Helm de ESS Community 25.12.1.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/02/2026

Vulnerabilidad en webfsd (CVE-2025-70314)
Fecha de publicación:
12/02/2026
Idioma:
Español
webfsd 1.21 es vulnerable a un desbordamiento de búfer a través de una solicitud manipulada. Esto se debe a la variable de nombre de archivo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/02/2026

Vulnerabilidad en ZBarcode_Encode de Monkeybread Software MBS DynaPDF Plugin (CVE-2025-67432)
Fecha de publicación:
12/02/2026
Idioma:
Español
Un desbordamiento de pila en la función ZBarcode_Encode de Monkeybread Software MBS DynaPDF Plugin v21.3.1.1 permite a los atacantes causar una Denegación de Servicio (DoS) mediante una entrada manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en Open TFTP Server MultiThreaded (CVE-2025-67433)
Fecha de publicación:
12/02/2026
Idioma:
Español
Un desbordamiento de búfer en el heap en la función processRequest de Open TFTP Server MultiThreaded v1.7 permite a los atacantes causar una denegación de servicio (DoS) mediante un paquete DATA manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2026

CVE-2019-25348
Fecha de publicación:
12/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en RTK IIS Codec Service (CVE-2019-25345)
Fecha de publicación:
12/02/2026
Idioma:
Español
El Servicio de códec Realtek IIS 6.4.10041.133 contiene una vulnerabilidad de ruta de servicio sin comillas que permite a atacantes locales ejecutar potencialmente código arbitrario. Los atacantes pueden explotar la ruta sin comillas en la configuración del servicio para inyectar ejecutables maliciosos y escalar privilegios en el sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en MobileGo de Wondershare (CVE-2019-25344)
Fecha de publicación:
12/02/2026
Idioma:
Español
Wondershare MobileGo 8.5.0 contiene una vulnerabilidad de permisos de archivo inseguros que permite a usuarios locales modificar archivos ejecutables en el directorio de la aplicación. Los atacantes pueden reemplazar el MobileGo.exe original con un ejecutable malicioso para crear una nueva cuenta de usuario y añadirla al grupo de Administradores con acceso total al sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en TheSystem (CVE-2019-25346)
Fecha de publicación:
12/02/2026
Idioma:
Español
TheSystem 1.0 contiene una vulnerabilidad de inyección SQL que permite a los atacantes eludir la autenticación manipulando el parámetro 'server_name'. Los atacantes pueden inyectar código SQL malicioso como ' o '1=1 para recuperar registros de base de datos no autorizados y potencialmente acceder a información sensible del sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/03/2026
Suscribirse a Vulnerabilidades