Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Juniper Networks Junos OS y Junos OS Evolved (CVE-2025-52988)
Fecha de publicación:
11/07/2025
Idioma:
Español
Una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ('inyección de comandos del sistema operativo') en la CLI de Juniper Networks Junos OS y Junos OS Evolved permite que un atacante local con privilegios elevados escale sus privilegios a root. Cuando un usuario proporciona argumentos específicamente manipulados para el comando 'solicitar cierre de sesión del sistema', estos se ejecutarán como root en el shell, lo que puede comprometer completamente el dispositivo. Este problema afecta a: Junos OS: * todas las versiones anteriores a 21.2R3-S9, * versiones 21.4 anteriores a 21.4R3-S8, * versiones 22.2 anteriores a 22.2R3-S6, * versiones 22.3 anteriores a 22.3R3-S3, * versiones 22.4 anteriores a 22.4R3-S6, * versiones 23.2 anteriores a 23.2R2-S1, * versiones 23.4 anteriores a 23.4R1-S2, 23.4R2; Junos OS Evolved: * todas las versiones anteriores a 22.4R3-S6-EVO, * versiones 23.2-EVO anteriores a 23.2R2-S1-EVO, * versiones 23.4-EVO anteriores a 23.4R1-S2-EVO, 23.4R2-EVO.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en Juniper Networks Junos OS y Junos OS Evolved (CVE-2025-52989)
Fecha de publicación:
11/07/2025
Idioma:
Español
Una vulnerabilidad de neutralización incorrecta de delimitadores en la interfaz de usuario de Juniper Networks Junos OS y Junos OS Evolved permite que un atacante local autenticado con privilegios elevados modifique la configuración del sistema. Un usuario con permisos limitados de configuración y confirmación, mediante un comando de anotación de configuración manipulado específicamente, puede modificar cualquier parte de la configuración del dispositivo. Este problema afecta a: Junos OS: * todas las versiones anteriores a 22.2R3-S7, * versiones 22.4 anteriores a 22.4R3-S7, * versiones 23.2 anteriores a 23.2R2-S4, * versiones 23.4 anteriores a 23.4R2-S4, * versiones 24.2 anteriores a 24.2R2-S1, * versiones 24.4 anteriores a 24.4R1-S2, 24.4R2; Junos OS Evolved: * todas las versiones anteriores a 22.4R3-S7-EVO, * versiones 23.2-EVO anteriores a 23.2R2-S4-EVO, * versiones 23.4-EVO anteriores a 23.4R2-S5-EVO, * versiones 24.2-EVO anteriores a 24.2R2-S1-EVO * versiones 24.4-EVO anteriores a 24.4R2-EVO.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en Juniper Networks Junos OS (CVE-2025-6549)
Fecha de publicación:
11/07/2025
Idioma:
Español
Una vulnerabilidad de autorización incorrecta en el servidor web de Juniper Networks Junos OS en la serie SRX permite que un atacante no autenticado acceda a Juniper Web Device Manager (J-Web). Cuando Juniper Secure Connect (JSC) está habilitado en interfaces específicas, o se configuran varias interfaces para J-Web, se puede acceder a la interfaz de usuario de J-Web desde más de las interfaces previstas. Este problema afecta a Junos OS: * todas las versiones anteriores a 21.4R3-S9, * versiones 22.2 anteriores a 22.2R3-S5, * versiones 22.4 anteriores a 22.4R3-S5, * versiones 23.2 anteriores a 23.2R2-S3, * versiones 23.4 anteriores a 23.4R2-S5, * versiones 24.2 anteriores a 24.2R2.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en Software SMI (CVE-2025-7026)
Fecha de publicación:
11/07/2025
Idioma:
Español
Una vulnerabilidad en el controlador Software SMI (SwSmiInputValue 0xB2) permite a un atacante local controlar el registro RBX, que se utiliza como puntero sin control en la función CommandRcx0. Si el contenido de RBX coincide con ciertos valores esperados (p. ej., '$DB$' o '2DB$'), la función realiza escrituras arbitrarias en la RAM de administración del sistema (SMRAM), lo que puede provocar una escalada de privilegios al modo de administración del sistema (SMM) y una vulnerabilidad persistente del firmware.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en Junos de Juniper Networks (CVE-2025-52981)
Fecha de publicación:
11/07/2025
Idioma:
Español
Una vulnerabilidad de Comprobación Incorrecta de Condiciones Inusuales o Excepcionales en el daemon de procesamiento de flujo (flowd) del sistema operativo Junos de Juniper Networks en SRX1600, SRX2300, SRX 4000 y SRX5000 con SPC3 permite que un atacante no autenticado basado en la red provoque una denegación de servicio (DoS). Si se recibe una secuencia de paquetes PIM específicos, flowd se bloqueará y reiniciará. Este problema afecta a Junos OS: * todas las versiones anteriores a 21.2R3-S9, * versiones 21.4 anteriores a 21.4R3-S11, * versiones 22.2 anteriores a 22.2R3-S7, * versiones 22.4 anteriores a 22.4R3-S6, * versiones 23.2 anteriores a 23.2R2-S4, * versiones 23.4 anteriores a 23.4R2-S4, * versiones 24.2 anteriores a 24.2R2. Se trata de una vulnerabilidad similar, pero diferente, a la reportada como CVE-2024-47503, publicada en JSA88133.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en Juniper Networks Junos OS (CVE-2025-52982)
Fecha de publicación:
11/07/2025
Idioma:
Español
Una vulnerabilidad de apagado o liberación incorrecta de recursos en la ALG SIP de Juniper Networks Junos OS en la serie MX con MS-MPC permite que un atacante no autenticado basado en la red provoque una denegación de servicio (DoS). Cuando un dispositivo de la serie MX con un MS-MPC se configura con dos o más conjuntos de servicios que procesan llamadas SIP, una secuencia específica de eventos de llamada provocará un bloqueo y reinicio del MS-MPC. Este problema afecta a Junos OS: * todas las versiones anteriores a 21.2R3-S9, * versiones 21.4 a partir de 21.4R1, * versiones 22.2 anteriores a 22.2R3-S6, * versiones 22.4 anteriores a 22.4R3-S6. Dado que el MS-MPC ha alcanzado el fin de su vida útil después de Junos OS 22.4, las versiones posteriores no se ven afectadas. Este problema no afecta a los dispositivos de las series MX-SPC3 ni SRX.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en Juniper Networks Junos OS (CVE-2025-52983)
Fecha de publicación:
11/07/2025
Idioma:
Español
Una vulnerabilidad de discrepancia en la interfaz de usuario (IU) para la función de seguridad en la interfaz de usuario de Juniper Networks Junos OS en sistemas host de máquina virtual permite que un atacante no autenticado acceda al dispositivo. En los motores de enrutamiento (RE) de host de máquina virtual, incluso si se ha eliminado la clave pública configurada para root, los usuarios remotos que poseen la clave privada correspondiente aún pueden iniciar sesión como root. Este problema afecta a Junos OS: * todas las versiones anteriores a 22.2R3-S7, * versiones 22.4 anteriores a 22.4R3-S5, * versiones 23.2 anteriores a 23.2R2-S3, * versiones 23.4 anteriores a 23.4R2-S3, * versiones 24.2 anteriores a 24.2R1-S2 y 24.2R2.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en Juniper Networks Junos OS y Junos OS Evolved (CVE-2025-52984)
Fecha de publicación:
11/07/2025
Idioma:
Español
Una vulnerabilidad de desreferencia de puntero nulo en el daemon de protocolo de enrutamiento (rpd) de Juniper Networks Junos OS y Junos OS Evolved permite que un atacante no autenticado basado en la red afecte la disponibilidad del dispositivo. Cuando una ruta estática apunta a un siguiente salto rechazado y se procesa una consulta gNMI para dicha ruta estática, rpd se bloquea y se reinicia. Este problema afecta a: Junos OS: * todas las versiones anteriores a 21.2R3-S9, * versiones 21.4 anteriores a 21.4R3-S10, * versiones 22.2 anteriores a 22.2R3-S6, * versiones 22.4 anteriores a 22.4R3-S6, * versiones 23.2 anteriores a 23.2R2-S3, * versiones 23.4 anteriores a 23.4R2-S4, * versiones 24.2 anteriores a 24.2R1-S2, 24.2R2; Junos OS Evolved: * todas las versiones anteriores a 22.4R3-S7-EVO, * versiones 23.2-EVO anteriores a 23.2R2-S3-EVO, * versiones 23.4-EVO anteriores a 23.4R2-S4-EVO, * versiones 24.2-EVO anteriores a 24.2R2-EVO.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en Juniper Networks Junos OS Evolved (CVE-2025-52985)
Fecha de publicación:
11/07/2025
Idioma:
Español
Una vulnerabilidad de uso de operador incorrecto en el firewall del motor de enrutamiento de Juniper Networks Junos OS Evolved permite a un atacante no autenticado basado en la red eludir las restricciones de seguridad. Cuando un filtro de firewall aplicado a la interfaz lo0 o re:mgmt hace referencia a una lista de prefijos con "from prefix-list", y dicha lista contiene más de 10 entradas, la lista de prefijos no coincide y los paquetes con destino o origen en el dispositivo local no se filtran. Este problema afecta a los filtros de firewall aplicados a las interfaces re:mgmt como entrada y salida, pero solo a los filtros de firewall aplicados a la interfaz lo0 como salida. Este problema es aplicable a IPv4 e IPv6, ya que una lista de prefijos puede contener prefijos de IPv4 e IPv6. Este problema afecta a Junos OS Evolved: * versiones 23.2R2-S3-EVO anteriores a 23.2R2-S4-EVO, * versiones 23.4R2-S3-EVO anteriores a 23.4R2-S5-EVO, * versiones 24.2R2-EVO anteriores a 24.2R2-S1-EVO, * versiones 24.4-EVO anteriores a 24.4R1-S3-EVO y 24.4R2-EVO. Este problema no afecta a las versiones de Junos OS Evolved anteriores a 23.2R1-EVO.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/07/2025

Vulnerabilidad en Junos OS de Juniper Networks (CVE-2025-52980)
Fecha de publicación:
11/07/2025
Idioma:
Español
Una vulnerabilidad de ordenamiento incorrecto de bytes en el daemon de protocolo de enrutamiento (rpd) del sistema operativo Junos de Juniper Networks en la serie SRX300 permite que un atacante no autenticado basado en la red provoque una denegación de servicio (DoS). Cuando se recibe una actualización de BGP a través de una sesión BGP establecida que contiene un atributo de ruta transitiva específico, válido y opcional, el rpd se bloquea y se reinicia. Este problema afecta a eBGP e iBGP sobre IPv4 e IPv6. Este problema afecta a: Junos OS: * versiones 22.1 a partir de 22.1R1 anteriores a 22.2R3-S4, * versiones 22.3 anteriores a 22.3R3-S3, * versiones 22.4 anteriores a 22.4R3-S2, * versiones 23.2 anteriores a 23.2R2, * versiones 23.4 anteriores a 23.4R2.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en gif_outputAsJpeg en phpThumb (CVE-2025-52994)
Fecha de publicación:
11/07/2025
Idioma:
Español
gif_outputAsJpeg en phpThumb hasta la versión 1.7.23 permite la inyección de comandos del sistema operativo phpthumb.gif.php mediante un valor de parámetro manipulado. Esto se solucionó en la versión 1.7.23-202506081709.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en Juniper Networks Junos OS y Junos OS Evolved (CVE-2025-52953)
Fecha de publicación:
11/07/2025
Idioma:
Español
Una vulnerabilidad de violación del comportamiento esperado en el daemon del protocolo de enrutamiento (rpd) de Juniper Networks Junos OS y Junos OS Evolved permite que un atacante adyacente no autenticado envíe un paquete BGP UPDATE válido para provocar el restablecimiento de la sesión BGP, lo que resulta en una denegación de servicio (DoS). La recepción y el procesamiento continuos de este paquete crearán una condición de denegación de servicio (DoS) sostenida. Este problema afecta a iBGP y eBGP, y tanto IPv4 como IPv6 se ven afectados por esta vulnerabilidad. Este problema afecta a Junos OS: * Todas las versiones anteriores a 21.2R3-S9, * desde 21.4 hasta 21.4R3-S11, * desde 22.2 hasta 22.2R3-S7, * desde 22.4 hasta 22.4R3-S7, * desde 23.2 hasta 23.2R2-S4, * desde 23.4 hasta 23.4R2-S4, * desde 24.2 hasta 24.2R2, * desde 24.4 hasta 24.4R1-S3, 24.4R2 Junos OS Evolved: * Todas las versiones anteriores a 22.2R3-S7-EVO, * desde 22.4-EVO hasta 22.4R3-S7-EVO, * desde 23.2-EVO hasta 23.2R2-S4-EVO, * desde 23.4-EVO hasta 23.4R2-S4-EVO, * desde 24.2-EVO antes de 24.2R2-EVO, * desde 24.4-EVO antes de 24.4R1-S3-EVO, 24.4R2-EVO.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2025
Suscribirse a Vulnerabilidades