Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en DedeCMS (CVE-2026-30694)
Fecha de publicación:
19/03/2026
Idioma:
Español
Un problema en DedeCMS v.5.7.118 y anteriores permite a un atacante remoto ejecutar código arbitrario a través del componente array_filter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/03/2026

Vulnerabilidad en wolfSSL (CVE-2026-2645)
Fecha de publicación:
19/03/2026
Idioma:
Español
En wolfSSL 5.8.2 y versiones anteriores, existía una falla lógica en la implementación de la máquina de estados del servidor TLS 1.2. El servidor podría aceptar incorrectamente el mensaje CertificateVerify antes de que se hubiera recibido el mensaje ClientKeyExchange. Este problema afecta a wolfSSL anterior a 5.8.4 (wolfSSL 5.8.2 y versiones anteriores son vulnerables, 5.8.4 no es vulnerable). En 5.8.4, wolfSSL detectaría el problema más tarde en el handshake. 5.9.0 fue endurecido aún más para detectar el problema antes en el handshake.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en wolfssl (CVE-2026-2646)
Fecha de publicación:
19/03/2026
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer de montón existe en la función wolfSSL_d2i_SSL_SESSION() de wolfSSL. Al deserializar datos de sesión con SESSION_CERTS habilitado, las longitudes del certificado y del ID de sesión se leen de una entrada no confiable sin validación de límites, permitiendo a un atacante desbordar búferes de tamaño fijo y corromper la memoria del montón. Una sesión creada maliciosamente necesitaría ser cargada desde una fuente externa para activar esta vulnerabilidad. Las sesiones internas no eran vulnerables.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en wolfSSL (CVE-2026-3548)
Fecha de publicación:
19/03/2026
Idioma:
Español
Dos vulnerabilidades de desbordamiento de búfer existían en el analizador CRL de wolfSSL al analizar números CRL: un desbordamiento de búfer basado en montículo podría ocurrir al almacenar incorrectamente el número CRL como una cadena hexadecimal, y un desbordamiento basado en pila para números CRL de tamaño suficiente. Con CRLs apropiadamente elaborados, cualquiera de estas escrituras fuera de límites podría ser activada. Tenga en cuenta que esto solo afecta a las compilaciones que habilitan específicamente el soporte CRL, y el usuario necesitaría cargar un CRL de una fuente no confiable.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/04/2026

Vulnerabilidad en Packetbeat de Elastic (CVE-2026-26933)
Fecha de publicación:
19/03/2026
Idioma:
Español
Validación Incorrecta de Índice de Array (CWE-129) en múltiples componentes analizadores de protocolo en Packetbeat puede provocar denegación de servicio a través de Manipulación de Datos de Entrada (CAPEC-153). Un atacante con la capacidad de enviar paquetes de red malformados y especialmente diseñados a una interfaz de red monitoreada puede desencadenar operaciones de lectura fuera de límites, lo que resulta en caídas de la aplicación o agotamiento de recursos. Esto requiere que el atacante esté posicionado en el mismo segmento de red que la implementación de Packetbeat o que controle el tráfico enrutado a las interfaces monitoreadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en Kibana de Elastic (CVE-2026-26940)
Fecha de publicación:
19/03/2026
Idioma:
Español
Validación incorrecta de cantidad especificada en la entrada (CWE-1284) en el plugin de visualización Timelion en Kibana puede conducir a denegación de servicio mediante asignación excesiva (CAPEC-130). La vulnerabilidad permite a un usuario autenticado enviar una expresión Timelion especialmente diseñada que sobrescribe propiedades internas de datos de series con un valor de cantidad excesivamente grande.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en Kibana de Elastic (CVE-2026-26939)
Fecha de publicación:
19/03/2026
Idioma:
Español
Autorización Faltante (CWE-862) en la Gestión de Reglas de Detección del lado del servidor de Kibana puede llevar a la Configuración de Acciones de Respuesta de Punto Final No Autorizada (aislamiento de host, terminación de proceso y suspensión de proceso) a través de CAPEC-1 (Acceso a Funcionalidad No Restringida Adecuadamente por ACLs). Esto requiere un atacante autenticado con privilegios de gestión de reglas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en Small Cell Sercomm (CVE-2025-67112)
Fecha de publicación:
19/03/2026
Idioma:
Español
Uso de una clave AES-256-CBC codificada de forma rígida en la implementación de copia de seguridad/restauración de la configuración del firmware de Small Cell Sercomm SCE4255W (FreedomFi Englewood) anterior a DG3934v3@2308041842 permite a usuarios remotos autenticados descifrar, modificar y volver a cifrar las configuraciones del dispositivo, lo que permite la manipulación de credenciales y la escalada de privilegios a través de las funciones de importación/exportación de la GUI.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/03/2026

Vulnerabilidad en Small Cell Sercomm SCE4255W (FreedomFi Englewood) (CVE-2025-67113)
Fecha de publicación:
19/03/2026
Idioma:
Español
Inyección de comandos del sistema operativo en el cliente CWMP (/ftl/bin/cwmp) del firmware de Small Cell Sercomm SCE4255W (FreedomFi Englewood) anterior a DG3934v3@2308041842 permite a atacantes remotos que controlan el endpoint ACS ejecutar comandos arbitrarios como root a través de una URL de descarga TR-069 manipulada que se pasa sin escapar a la tubería de actualización del firmware.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/03/2026

Vulnerabilidad en Small Cell Sercomm SCE4255W (FreedomFi Englewood) (CVE-2025-67114)
Fecha de publicación:
19/03/2026
Idioma:
Español
El uso de un algoritmo de generación de credenciales determinista en /ftl/bin/calc_f2 en el firmware del Small Cell Sercomm SCE4255W (FreedomFi Englewood) anterior a DG3934v3@2308041842 permite a atacantes remotos derivar credenciales administrativas/de root válidas de la dirección MAC del dispositivo, lo que permite la omisión de autenticación y el acceso completo al dispositivo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/03/2026

Vulnerabilidad en Small Cell Sercomm SCE4255W (FreedomFi Englewood) (CVE-2025-67115)
Fecha de publicación:
19/03/2026
Idioma:
Español
Una vulnerabilidad de salto de ruta en /ftl/web/setup.cgi en el firmware de Small Cell Sercomm SCE4255W (FreedomFi Englewood) anterior a DG3934v3@2308041842 permite a usuarios remotos autenticados leer archivos arbitrarios del sistema de archivos mediante valores manipulados en el parámetro log_type a /logsave.htm.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en wgcloud (CVE-2026-30403)
Fecha de publicación:
19/03/2026
Idioma:
Español
Hay una vulnerabilidad de lectura arbitraria de archivos en la función de prueba de conexión de la gestión de bases de datos de backend en wgcloud v3.6.3 y versiones anteriores, que puede ser utilizada para leer cualquier archivo en el servidor de la víctima.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/04/2026
Suscribirse a Vulnerabilidades