Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en D-Link DWR-M960 (CVE-2026-2853)
Fecha de publicación:
20/02/2026
Idioma:
Español
Una vulnerabilidad fue detectada en D-Link DWR-M960 1.01.07. Esto afecta la función sub_462E14 del archivo /boafrm/formSysLog del componente System Log Configuration Endpoint. Realizar una manipulación del argumento submit-url resulta en desbordamiento de búfer basado en pila. El ataque puede ser iniciado remotamente. El exploit ahora es público y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en D-Link DWR-M960 (CVE-2026-2854)
Fecha de publicación:
20/02/2026
Idioma:
Español
Se ha encontrado una falla en D-Link DWR-M960 1.01.07. Esto afecta a la función sub_4611CC del archivo /boafrm/formNtp del componente Punto final de configuración NTP. La ejecución de una manipulación del argumento submit-url puede llevar a un desbordamiento de búfer basado en pila. El ataque puede ser lanzado remotamente. El exploit ha sido publicado y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en D-Link DWR-M960 (CVE-2026-2855)
Fecha de publicación:
20/02/2026
Idioma:
Español
Una vulnerabilidad ha sido encontrada en D-Link DWR-M960 1.01.07. Afectada es la función sub_4648F0 del archivo /boafrm/formDdns del componente Gestor de Configuración DDNS. La manipulación del argumento submit-url conduce a desbordamiento de búfer basado en pila. El ataque puede ser iniciado remotamente. El exploit ha sido divulgado al público y puede ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en Vertex AI Experiments en Google Cloud Vertex AI (CVE-2026-2473)
Fecha de publicación:
20/02/2026
Idioma:
Español
Nombres de buckets predecibles en Vertex AI Experiments en Google Cloud Vertex AI desde la versión 1.21.0 hasta (pero sin incluir) la 1.133.0 en Google Cloud Platform permite a un atacante remoto no autenticado lograr ejecución remota de código entre inquilinos, robo de modelos y envenenamiento mediante la creación previa de buckets de Cloud Storage con nombres predecibles (Bucket Squatting).<br /> <br /> Esta vulnerabilidad fue parcheada y no se requiere ninguna acción por parte del cliente.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en Google Cloud Vertex AI SDK (CVE-2026-2472)
Fecha de publicación:
20/02/2026
Idioma:
Español
Cross-Site Scripting (XSS) Almacenado en el componente _genai/_evals_visualization de Google Cloud Vertex AI SDK (google-cloud-aiplatform) versiones desde la 1.98.0 hasta (pero sin incluir) la 1.131.0 permite a un atacante remoto no autenticado ejecutar JavaScript arbitrario en el entorno Jupyter o Colab de una víctima mediante la inyección de secuencias de escape de script en los resultados de evaluación del modelo o en los datos JSON del conjunto de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/02/2026

Vulnerabilidad en Digital Experience (CVE-2025-62326)
Fecha de publicación:
20/02/2026
Idioma:
Español
HCL Digital Experience es susceptible a cross-site scripting (XSS) almacenado en la interfaz de usuario administrativa, lo que requeriría privilegios elevados para explotar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en yeqifu (CVE-2026-2852)
Fecha de publicación:
20/02/2026
Idioma:
Español
Se identificó una vulnerabilidad en el almacén yeqifu hasta aaf29962ba407d22d991781de28796ee7b4670e4. Este problema afecta a la función addSales/updateSales/deleteSales del archivo dataset\repos\warehouse\src\main\java\com\yeqifu\bus\controller\SalesController.java del componente Sales Endpoint. La manipulación conduce a controles de acceso inadecuados. El ataque puede ser llevado a cabo de forma remota. El exploit está disponible públicamente y podría ser utilizado. Este producto adopta una estrategia de lanzamiento continuo para mantener la entrega continua. Por lo tanto, los detalles de la versión para las versiones afectadas o actualizadas no pueden ser especificados. Se informó al proyecto del problema con antelación a través de un informe de problema, pero aún no ha respondido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en PROLiNK (CVE-2021-35402)
Fecha de publicación:
20/02/2026
Idioma:
Español
PROLiNK PRC2402M 20190909 antes del 2021-06-13 permite la inyección de comandos del sistema operativo en live_api.cgi?page=satellite_list a través de metacaracteres de shell en el parámetro ip (para satellite_status).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/02/2026

Vulnerabilidad en Fiverr Clone Script (CVE-2019-25445)
Fecha de publicación:
20/02/2026
Idioma:
Español
Fiverr Clone Script 1.2.2 contiene una vulnerabilidad de cross-site scripting que permite a atacantes no autenticados inyectar scripts maliciosos manipulando el parámetro keyword. Los atacantes pueden crear URLs con etiquetas de script en el parámetro keyword de search-results.PHP para ejecutar JavaScript arbitrario en los navegadores de los usuarios.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Fiverr Clone Script (CVE-2019-25444)
Fecha de publicación:
20/02/2026
Idioma:
Español
Fiverr Clone Script 1.2.2 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas a la base de datos inyectando código SQL a través del parámetro page. Los atacantes pueden suministrar sintaxis SQL maliciosa en el parámetro page para extraer información sensible de la base de datos o modificar el contenido de la base de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/03/2026

Vulnerabilidad en yeqifu (CVE-2026-2851)
Fecha de publicación:
20/02/2026
Idioma:
Español
Se determinó una vulnerabilidad en el almacén yeqifu hasta aaf29962ba407d22d991781de28796ee7b4670e4. Esta vulnerabilidad afecta a la función addInport/updateInport/deleteInport del archivo dataset\repos\warehouse\src\main\java\com\yeqifu\bus\controller\InportController.java del componente Inport Endpoint. La ejecución de una manipulación puede llevar a controles de acceso inadecuados. El ataque puede ejecutarse remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. Este producto implementa un lanzamiento continuo para la entrega constante, lo que significa que la información de la versión para las versiones afectadas o actualizadas no está disponible. Se informó al proyecto del problema con antelación a través de un informe de incidencias, pero aún no ha respondido.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Samsung MultiXpress (CVE-2026-2832)
Fecha de publicación:
20/02/2026
Idioma:
Español
Ciertas impresoras multifunción Samsung MultiXpress podrían ser vulnerables a la revelación de información, exponiendo potencialmente entradas de la libreta de direcciones y otra información de configuración del dispositivo a través de APIs específicas sin la debida autorización.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026
Suscribirse a Vulnerabilidades