Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en authlib (CVE-2026-28490)
Fecha de publicación:
16/03/2026
Idioma:
Español
Authlib es una biblioteca Python que construye servidores OAuth y OpenID Connect. Antes de la versión 1.6.9, se identificó una vulnerabilidad de oráculo de relleno criptográfico en la biblioteca Python Authlib relacionada con la implementación del algoritmo de gestión de claves RSA1_5 de JSON Web Encryption (JWE). Authlib registra RSA1_5 en su registro de algoritmos predeterminado sin requerir una aceptación explícita, y destruye activamente la mitigación de tiempo constante de Bleichenbacher que la biblioteca de criptografía subyacente implementa correctamente. Este problema ha sido parcheado en la versión 1.6.9.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en authlib (CVE-2026-28498)
Fecha de publicación:
16/03/2026
Idioma:
Español
Authlib es una biblioteca Python que construye servidores OAuth y OpenID Connect. Antes de la versión 1.6.9, se identificó una vulnerabilidad a nivel de biblioteca en la biblioteca Python Authlib con respecto a la validación de los tokens de ID de OpenID Connect (OIDC). Específicamente, la lógica interna de verificación de hash (_verify_hash) responsable de validar las reclamaciones at_hash (Hash de Token de Acceso) y c_hash (Hash de Código de Autorización) exhibe un comportamiento fail-open al encontrar un algoritmo criptográfico no compatible o desconocido. Esta falla permite a un atacante eludir las protecciones de integridad obligatorias al suministrar un token de ID falsificado con un parámetro de encabezado alg deliberadamente no reconocido. La biblioteca intercepta el estado no compatible y devuelve silenciosamente True (validación aprobada), violando inherentemente los principios fundamentales de diseño criptográfico y las especificaciones directas de OIDC. Este problema ha sido parcheado en la versión 1.6.9.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en fields de pluginsGLPI (CVE-2026-23489)
Fecha de publicación:
16/03/2026
Idioma:
Español
Fields es un plugin de GLPI que permite a los usuarios añadir campos personalizados en los formularios de elementos de GLPI. Antes de la versión 1.23.3, es posible ejecutar código PHP arbitrario por parte de usuarios que tienen permiso para crear desplegables. Este problema ha sido parcheado en la versión 1.23.3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/03/2026

Vulnerabilidad en ThinOS 10 de Dell (CVE-2026-23862)
Fecha de publicación:
16/03/2026
Idioma:
Español
Las versiones de Dell ThinOS 10 anteriores a ThinOS 2602_10.0573, contienen una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando ('inyección de comandos'). Un atacante con pocos privilegios y acceso local podría potencialmente explotar esta vulnerabilidad, lo que llevaría a una Elevación de Privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en Chyrp (CVE-2025-69768)
Fecha de publicación:
16/03/2026
Idioma:
Español
Vulnerabilidad de inyección SQL en Chyrp v.2.5.2 y anteriores permite a un atacante remoto obtener información sensible a través del componente Admin.php
Gravedad CVSS v3.1: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en Doom Launcher (CVE-2025-66687)
Fecha de publicación:
16/03/2026
Idioma:
Español
Doom Launcher 3.8.1.0 es vulnerable a salto de directorio debido a la falta de validación de la ruta de archivo durante la extracción de archivos de juego.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2026

Vulnerabilidad en AC8 de Tenda (CVE-2026-4252)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una vulnerabilidad fue identificada en Tenda AC8 16.03.50.11. Afectada por este problema es la función check_is_ipv6 del componente Gestor IPv6. La manipulación conduce a la dependencia de la dirección IP para la autenticación. Es posible iniciar el ataque remotamente. El exploit está disponible públicamente y podría ser utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/04/2026

Vulnerabilidad en AWS API MCP Server de AWS (CVE-2026-4270)
Fecha de publicación:
16/03/2026
Idioma:
Español
Protección Inadecuada de Ruta Alternativa existe en la característica no-access y workdir del servidor AWS API MCP versiones &amp;gt;= 0.2.14 y &amp;lt; 1.3.9 en todas las plataformas, lo que puede permitir la omisión de la restricción de acceso a archivos prevista y exponer contenidos de archivos locales arbitrarios en el contexto de la aplicación cliente MCP.<br /> <br /> Para remediar este problema, los usuarios deben actualizar a la versión 1.3.9.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en CityChat de CityData (CVE-2026-4251)
Fecha de publicación:
16/03/2026
Idioma:
Español
Se determinó una vulnerabilidad en CityData CityChat hasta la versión 0.12.6 en Android. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo resources/assets/flutter_assets/assets/credentials.json del componente ai.citydata.citychat. Ejecutar una manipulación puede llevar al almacenamiento no protegido de credenciales. El ataque requiere acceso local. Un alto nivel de complejidad está asociado con este ataque. La explotación parece ser difícil. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en GoBGP (CVE-2026-30405)
Fecha de publicación:
16/03/2026
Idioma:
Español
Un problema en GoBGP gobgpd v.4.2.0 permite a un atacante remoto causar una denegación de servicio a través del atributo de ruta NEXT_HOP.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/04/2026

CVE-2025-54758
Fecha de publicación:
16/03/2026
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2025. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
16/03/2026

Vulnerabilidad en módulo Courses/Work Assignments de gunet Open eClass (CVE-2025-65734)
Fecha de publicación:
16/03/2026
Idioma:
Español
Una vulnerabilidad de carga arbitraria de archivos autenticada en el módulo de Cursos/Asignaciones de Trabajo de gunet Open eClass v3.11, y corregida en la v3.13, permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo SVG manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2026
Suscribirse a Vulnerabilidades