Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en The Plugin People Enterprise Mail Handler for Jira Data Center (JEMH) (CVE-2025-25363)
Fecha de publicación:
13/03/2025
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting (XSS) almacenado y autenticadas en The Plugin People Enterprise Mail Handler for Jira Data Center (JEMH) anterior a v4.1.69-dc permite a atacantes con privilegios de administrador ejecutar Javascript arbitrario en el contexto del navegador de un usuario mediante la inyección de un payload manipulado en el campo HTML de una plantilla.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/04/2025

Vulnerabilidad en Inova Logic CUSTOMER MONITOR (CM) v3.1.757.1 (CVE-2025-25598)
Fecha de publicación:
13/03/2025
Idioma:
Español
El control de acceso incorrecto en la consola de tareas programadas de Inova Logic CUSTOMER MONITOR (CM) v3.1.757.1 permite a los atacantes escalar privilegios mediante la colocación de un ejecutable manipulado en una tarea programada.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2025

Vulnerabilidad en Microsoft Corporation (CVE-2025-24053)
Fecha de publicación:
13/03/2025
Idioma:
Español
La autenticación incorrecta en Microsoft Dataverse permite que un atacante autorizado eleve privilegios en una red.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2025

Vulnerabilidad en HCL AppScan Traffic Recorder (CVE-2024-30143)
Fecha de publicación:
13/03/2025
Idioma:
Español
HCL AppScan Traffic Recorder no neutraliza adecuadamente los caracteres especiales del nombre de archivo, lo que podría permitir que se resuelva a una ubicación fuera del directorio restringido. Las vulnerabilidades de seguridad pueden interrumpir o tomar el control total de la aplicación o del equipo donde se ejecuta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Tenable Network Security, Inc. (CVE-2025-2284)
Fecha de publicación:
13/03/2025
Idioma:
Español
Existe una vulnerabilidad de denegación de servicio en la función "GetWebLoginCredentials" en "Sante PACS Server.exe".
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Tenable Network Security, Inc. (CVE-2025-2263)
Fecha de publicación:
13/03/2025
Idioma:
Español
Al iniciar sesión en el servidor web en "Sante PACS Server.exe", se llama a la función OpenSSL EVP_DecryptUpdate para descifrar el nombre de usuario y la contraseña. Se pasa a la función un búfer fijo de pila de 0x80 bytes como búfer de salida. Se produce un desbordamiento de búfer de pila si un atacante remoto no autenticado proporciona un nombre de usuario o una contraseña cifrados largos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/04/2025

Vulnerabilidad en Tenable Network Security, Inc. (CVE-2025-2264)
Fecha de publicación:
13/03/2025
Idioma:
Español
Existe una vulnerabilidad de divulgación de información de Path Traversal en "Sante PACS Server.exe". Un atacante remoto no autenticado puede explotarla para descargar archivos arbitrarios en la unidad de disco donde está instalada la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2025

Vulnerabilidad en Optigo Networks Visual BACnet Capture Tool y Optigo Visual Networks Capture Tool (CVE-2025-2079)
Fecha de publicación:
13/03/2025
Idioma:
Español
Optigo Networks Visual BACnet Capture Tool y Optigo Visual Networks Capture Tool versión 3.1.2rc11 contienen una clave secreta codificada. Esto podría permitir a un atacante generar sesiones JWT (JSON Web Token) válidas.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Optigo Networks Visual BACnet Capture Tool y Optigo Visual Networks Capture Tool (CVE-2025-2080)
Fecha de publicación:
13/03/2025
Idioma:
Español
Optigo Networks Visual BACnet Capture Tool y Optigo Visual Networks Capture Tool versión 3.1.2rc11 contienen un servicio de administración web expuesto que podría permitir a un atacante eludir las medidas de autenticación y obtener control sobre las utilidades dentro de los productos.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Optigo Networks Visual BACnet Capture Tool y Optigo Visual Networks Capture Tool (CVE-2025-2081)
Fecha de publicación:
13/03/2025
Idioma:
Español
Optigo Networks Visual BACnet Capture Tool y Optigo Visual Networks Capture Tool versión 3.1.2rc11 son vulnerables a que un atacante se haga pasar por el servicio de aplicación web y engañe a los clientes víctimas.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Tenable Network Security, Inc. (CVE-2025-2265)
Fecha de publicación:
13/03/2025
Idioma:
Español
La contraseña de un usuario web en "Sante PACS Server.exe" tiene un relleno de ceros de 0x2000 bytes, un hash SHA1, una codificación base64 y se almacena en la tabla USER de la base de datos SQLite HTTP.db. Sin embargo, el número de bytes hash codificados y almacenados se trunca si el hash contiene un byte cero.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en DataEase (CVE-2025-27138)
Fecha de publicación:
13/03/2025
Idioma:
Español
DataEase es una herramienta de código abierto para inteligencia empresarial y visualización de datos. Antes de la versión 2.10.6, existía una falla en la autenticación de la clase io.dataease.auth.filter.TokenFilter, que podía provocar acceso no autorizado. Esta vulnerabilidad se ha corregido en la versión 2.10.6. No se conocen workarounds.
Gravedad CVSS v4.0: ALTA
Última modificación:
21/03/2025
Suscribirse a Vulnerabilidades