Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Endpoint HX Agent (xAgent) de Trellix (CVE-2025-14963)
Fecha de publicación:
24/02/2026
Idioma:
Español
Una vulnerabilidad identificada en el archivo de controlador fekern.sys del Agente Trellix HX permitió a un actor de amenaza con acceso de usuario local la capacidad de obtener privilegios de sistema elevados. La utilización de un controlador vulnerable propio (BYOVD) fue aprovechada para obtener acceso a la memoria del proceso crítico de Windows lsass.exe (Servicio de Subsistema de Autoridad de Seguridad Local). El fekern.sys; un archivo de controlador asociado con el Agente Trellix HX (utilizado en todas las versiones existentes del Agente HX). El controlador vulnerable instalado en un producto o un sistema que ejecuta el Agente HX completamente funcional no es, en sí mismo, explotable ya que la protección contra manipulaciones del producto restringe la capacidad de comunicarse con el controlador solo a los procesos del agente.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en Piwigo (CVE-2025-62512)
Fecha de publicación:
24/02/2026
Idioma:
Español
Piwigo es una aplicación de galería de fotos de código abierto para la web. En la versión 15.5.0 y probablemente en versiones 15.x anteriores, la funcionalidad de restablecimiento de contraseña en Piwigo permite a un atacante no autenticado determinar si un nombre de usuario o una dirección de correo electrónico dados existen en el sistema. El endpoint en password.PHP?action=lost devuelve mensajes distintos para cuentas válidas frente a inválidas, lo que permite la enumeración de usuarios. Hasta el momento de la publicación, no hay parches conocidos disponibles.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en caddy de caddyserver (CVE-2026-27588)
Fecha de publicación:
24/02/2026
Idioma:
Español
Caddy es una plataforma de servidor extensible que usa TLS por defecto. Antes de la versión 2.11.1, el comparador de solicitudes 'host' HTTP de Caddy está documentado como insensible a mayúsculas y minúsculas, pero cuando se configura con una lista de hosts grande (>100 entradas) se vuelve sensible a mayúsculas y minúsculas debido a una ruta de comparación optimizada. Un atacante puede eludir el enrutamiento basado en host y cualquier control de acceso asociado a esa ruta cambiando el uso de mayúsculas y minúsculas del encabezado 'Host'. La versión 2.11.1 contiene una solución para el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en caddy de caddyserver (CVE-2026-27589)
Fecha de publicación:
24/02/2026
Idioma:
Español
Caddy es una plataforma de servidor extensible que usa TLS por defecto. Antes de la versión 2.11.1, la API de administración local de Caddy (escucha por defecto '127.0.0.1:2019') expone un endpoint 'POST /load' que cambia el estado y reemplaza toda la configuración en ejecución. Cuando la aplicación de origen no está habilitada ('enforce_origin' no configurado), el endpoint de administración acepta solicitudes de origen cruzado (por ejemplo, desde contenido web controlado por un atacante en un navegador de la víctima) y aplica una configuración JSON proporcionada por el atacante. Esto puede cambiar la configuración del oyente de administración y alterar el comportamiento del servidor HTTP sin intención del usuario. La versión 2.11.1 contiene una solución para el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en caddy de caddyserver (CVE-2026-27590)
Fecha de publicación:
24/02/2026
Idioma:
Español
Caddy es una plataforma de servidor extensible que utiliza TLS por defecto. Antes de la versión 2.11.1, la lógica de división de rutas FastCGI de Caddy calcula el índice de división en una copia en minúsculas de la ruta de la solicitud y luego utiliza ese índice de bytes para segmentar la ruta original. Esto no es seguro para Unicode porque `strings.ToLower()` puede cambiar la longitud de bytes UTF-8 para algunos caracteres. Como resultado, Caddy puede derivar un `SCRIPT_NAME`/`SCRIPT_FILENAME` y `PATH_INFO` incorrectos, lo que podría causar que una solicitud que contiene .php ejecute un archivo en disco diferente al previsto (confusión de rutas). En configuraciones donde un atacante puede controlar el contenido de los archivos (por ejemplo, funciones de carga), esto puede llevar a la ejecución no intencionada de PHP de archivos que no son .php (RCE potencial dependiendo de la implementación). La versión 2.11.1 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en nats-io (CVE-2026-27571)
Fecha de publicación:
24/02/2026
Idioma:
Español
NATS-Server es un servidor de alto rendimiento para NATS.io, un sistema de mensajería nativo de la nube y el perímetro (edge). El manejo de mensajes NATS por WebSockets gestiona mensajes comprimidos a través de la compresión negociada por WebSockets. Antes de las versiones 2.11.2 y 2.12.3, la implementación limitaba el tamaño de la memoria de un mensaje NATS, pero no limitaba de forma independiente el consumo de memoria del flujo de memoria al construir un mensaje NATS que luego podría fallar la validación por razones de tamaño. Un atacante puede usar una bomba de compresión para provocar un consumo excesivo de memoria, lo que a menudo resulta en que el sistema operativo termine el proceso del servidor. El uso de la compresión se negocia antes de la autenticación, por lo que esto no requiere credenciales NATS válidas para explotarlo. La solución, presente en las versiones 2.11.2 y 2.12.3, fue establecer límites para que la descompresión fallara una vez que el mensaje fuera demasiado grande, en lugar de continuar. La vulnerabilidad solo afecta a las implementaciones que usan WebSockets y que exponen el puerto de red a endpoints no confiables.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2026

Vulnerabilidad en caddy de caddyserver (CVE-2026-27585)
Fecha de publicación:
24/02/2026
Idioma:
Español
Caddy es una plataforma de servidor extensible que usa TLS por defecto. Antes de la versión 2.11.1, la rutina de saneamiento de rutas en el file matcher no sanea las barras invertidas, lo que puede llevar a la elusión de protecciones de seguridad relacionadas con la ruta. Afecta a usuarios con configuraciones específicas de Caddy y del entorno. La versión 2.11.1 corrige el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en caddy de caddyserver (CVE-2026-27586)
Fecha de publicación:
24/02/2026
Idioma:
Español
Caddy es una plataforma de servidor extensible que usa TLS por defecto. Antes de la versión 2.11.1, dos errores silenciados en `ClientAuthentication.provision()` causan que la autenticación de certificados de cliente mTLS falle silenciosamente en modo abierto cuando un archivo de certificado de CA falta, es ilegible o está malformado. El servidor se inicia sin error pero acepta cualquier certificado de cliente firmado por cualquier CA de confianza del sistema, eludiendo completamente el límite de confianza de CA privada previsto. Cualquier despliegue que use `trusted_ca_cert_file` o `trusted_ca_certs_pem_files` para mTLS se degradará silenciosamente para aceptar cualquier certificado de cliente de confianza del sistema si el archivo de CA deja de estar disponible. Esto puede ocurrir debido a un error tipográfico en la ruta, rotación de archivos, corrupción o cambios de permisos. El servidor no da ninguna indicación de que mTLS está mal configurado. La versión 2.11.1 corrige la vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en caddy de caddyserver (CVE-2026-27587)
Fecha de publicación:
24/02/2026
Idioma:
Español
Caddy es una plataforma de servidor extensible que utiliza TLS por defecto. Antes de la versión 2.11.1, el comparador de solicitudes 'path' HTTP de Caddy está diseñado para ser insensible a mayúsculas y minúsculas, pero cuando el patrón de coincidencia contiene secuencias de escape de porcentaje ('%xx'), compara con la ruta escapada de la solicitud sin convertir a minúsculas. Un atacante puede eludir el enrutamiento basado en rutas y cualquier control de acceso asociado a esa ruta cambiando el uso de mayúsculas y minúsculas de la ruta de la solicitud. La versión 2.11.1 contiene una solución para el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en TIK-SOFT (CVE-2025-13776)
Fecha de publicación:
24/02/2026
Idioma:
Español
Múltiples programas Finka usan credenciales de la base de datos Firebird almacenadas en el código (compartidas entre todas las instancias de este software). Un atacante malicioso en la red local que conozca las credenciales predeterminadas es capaz de leer y editar el contenido de la base de datos.<br /> <br /> Esta vulnerabilidad ha sido corregida en la versión: Finka-FK 18.5, Finka-KPR 16.6, Finka-P?ace 13.4, Finka-Faktura 18.3, Finka-Magazyn 8.3, Finka-STW 12.3
Gravedad CVSS v4.0: ALTA
Última modificación:
26/02/2026

Vulnerabilidad en Piwigo (CVE-2024-48928)
Fecha de publicación:
24/02/2026
Idioma:
Español
Piwigo es una aplicación de galería de fotos de código abierto para la web. En las versiones de la rama 14.x, al instalar, el parámetro de configuración secret_key se establece en MD5(RAND()) en MySQL. Sin embargo, RAND() solo tiene 30 bits de aleatoriedad, lo que hace factible forzar la clave secreta por fuerza bruta. El token CSRF se construye parcialmente a partir de la clave secreta, y esto se puede usar para verificar si el ataque de fuerza bruta tuvo éxito. Probar todos los valores posibles toma aproximadamente una hora. El impacto de esto es limitado. La clave de inicio de sesión automático utiliza la contraseña del usuario además de la clave secreta. El token pwg utiliza el identificador de sesión del usuario además de la clave secreta. Parece que los valores para get_ephemeral_key pueden generarse cuando se conoce la clave secreta. La versión 15.0.0 contiene una solución para el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
25/02/2026

Vulnerabilidad en 10G08-0800GSM Network Switch de Binardat Ltd. (CVE-2026-27521)
Fecha de publicación:
24/02/2026
Idioma:
Español
La versión de firmware V300SP10260209 y anteriores del switch de red Binardat 10G08-0800GSM no implementa limitación de tasa o bloqueo de cuenta en intentos de inicio de sesión fallidos, permitiendo ataques de fuerza bruta contra las credenciales de usuario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/03/2026
Suscribirse a Vulnerabilidades