Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-23681
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Due to missing authorization check in a function module in SAP Support Tools Plug-In, an authenticated attacker could invoke specific function modules to retrieve information about the system and its configuration. This disclosure of the system information could assist the attacker to plan subsequent attacks. This vulnerability has a low impact on the confidentiality of the application, with no effect on its integrity or availability.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

CVE-2026-23684
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** A race condition vulnerability exists in the SAP Commerce cloud. Because of this when an attacker adds products to a cart, it may result in a cart entry being created with erroneous product value which could be checked out. This leads to high impact on data integrity, with no impact on data confidentiality or availability of the application.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

CVE-2026-23685
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Due to a Deserialization vulnerability in SAP NetWeaver (JMS service), an attacker authenticated as an administrator with local access could submit specially crafted content to the server. If processed by the application, this content could trigger unintended behavior during internal logic execution, potentially causing a denial of service. Successful exploitation results in a high impact on availability, while confidentiality and integrity remain unaffected.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

CVE-2026-0485
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** SAP BusinessObjects BI Platform allows an unauthenticated attacker to send specially crafted requests that could cause the Content Management Server (CMS) to crash and automatically restart. By repeatedly submitting these requests, the attacker could induce a persistent service disruption, rendering the CMS completely unavailable. Successful exploitation results in a high impact on availability, while confidentiality and integrity remain unaffected.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

CVE-2026-0486
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** In ABAP based SAP systems a remote enabled function module does not perform necessary authorization checks for an authenticated user resulting in disclosure of system information.This has low impact on confidentiality. Integrity and availability are not impacted.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

CVE-2026-0488
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** An authenticated attacker in SAP CRM and SAP S/4HANA (Scripting Editor) could exploit a flaw in a generic function module call and execute unauthorized critical functionalities, which includes the ability to execute an arbitrary SQL statement. This leads to a full database compromise with high impact on confidentiality, integrity, and availability.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/02/2026

CVE-2026-0490
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** SAP BusinessObjects BI Platform allows an unauthenticated attacker to craft a specific network request to the trusted endpoint that breaks the authentication, which prevents the legitimate users from accessing the platform. As a result, it has a high impact on the availability but no impact on the confidentiality and integrity.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

CVE-2026-0484
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Due to missing authorization check in SAP NetWeaver Application Server ABAP and SAP S/4HANA, an authenticated attacker could access a specific transaction code and modify the text data in the system. This vulnerability has a high impact on integrity of the application with no effect on the confidentiality and availability.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

CVE-2026-2258
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** A flaw has been found in aardappel lobster up to 2025.4. Affected by this vulnerability is the function WaveFunctionCollapse in the library dev/src/lobster/wfc.h. Executing a manipulation can lead to memory corruption. The attack can only be executed locally. The exploit has been published and may be used. This patch is called c2047a33e1ac2c42ab7e8704b33f7ea518a11ffd. It is advisable to implement a patch to correct this issue.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/02/2026

CVE-2025-15310
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tanium addressed a local privilege escalation vulnerability in Patch Endpoint Tools.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

CVE-2025-15313
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tanium addressed an arbitrary file deletion vulnerability in Tanium EUSS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

CVE-2025-15314
Fecha de publicación:
10/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Tanium addressed an arbitrary file deletion vulnerability in end-user-cx.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026
Suscribirse a Vulnerabilidades