Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6823)

Fecha de publicación:
28/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Inventory Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /php_action/editProduct.php. La manipulación del argumento editProductName provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/07/2025

Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6822)

Fecha de publicación:
28/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Inventory Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /php_action/removeProduct.php. La manipulación del argumento productId provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/07/2025

Vulnerabilidad en Apache Seata (CVE-2025-32897)

Fecha de publicación:
28/06/2025
Idioma:
Español
Vulnerabilidad de deserialización de datos no confiables en Apache Seata (en desarrollo). Esta vulnerabilidad de seguridad es similar a la CVE-2024-47552, pero el rango de versiones descrito en la definición de CVE-2024-47552 es demasiado limitado. Este problema afecta a Apache Seata (en desarrollo): desde la versión 2.0.0 hasta la 2.3.0. Se recomienda a los usuarios actualizar a la versión 2.3.0, que soluciona el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2025

Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6821)

Fecha de publicación:
28/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Inventory Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /php_action/createOrder.php. La manipulación provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/07/2025

Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6820)

Fecha de publicación:
28/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Inventory Management System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /php_action/createProduct.php. La manipulación del argumento productName provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/07/2025

Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6819)

Fecha de publicación:
28/06/2025
Idioma:
Español
Se ha detectado una vulnerabilidad en code-projects Inventory Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /php_action/removeBrand.php. La manipulación del argumento brandId provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/07/2025

Vulnerabilidad en Skoda y Volkswagen (CVE-2023-28909)

Fecha de publicación:
28/06/2025
Idioma:
Español
Existe una falla específica en la pila Bluetooth de la unidad MIB3. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar un desbordamiento de enteros al recibir paquetes HCI fragmentados en un canal. Un atacante puede aprovechar esta vulnerabilidad para eludir la comprobación de MTU en un canal con la fragmentación habilitada. En consecuencia, esto puede provocar un desbordamiento de búfer en los perfiles de capa superior, lo que puede utilizarse para obtener ejecución remota de código. La vulnerabilidad se descubrió originalmente en el Skoda Superb III con unidad de infoentretenimiento MIB3 con número de pieza OEM 3V0035820. La lista de los números de pieza OEM MIB3 afectados se proporciona en los recursos referenciados.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2025

Vulnerabilidad en Skoda y Volkswagen (CVE-2023-28910)

Fecha de publicación:
28/06/2025
Idioma:
Español
Existe una falla específica en la pila Bluetooth del sistema de infoentretenimiento MIB3. El problema se debe a la desactivación del indicador de interrupción, lo que eventualmente provoca la omisión de las funciones de aserción. La vulnerabilidad se descubrió originalmente en el Skoda Superb III con unidad de infoentretenimiento MIB3 con número de pieza OEM 3V0035820. La lista de números de pieza OEM MIB3 afectados se proporciona en los recursos de referencia.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2025

Vulnerabilidad en Skoda y Volkswagen (CVE-2023-28911)

Fecha de publicación:
28/06/2025
Idioma:
Español
Existe una falla específica en la pila Bluetooth del sistema de infoentretenimiento MIB3. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar la desconexión arbitraria de un canal. Un atacante puede aprovechar esta vulnerabilidad para lanzar un ataque de denegación de servicio (DPS) a cada cliente conectado al dispositivo de infoentretenimiento. La vulnerabilidad se descubrió originalmente en el Skoda Superb III con unidad de infoentretenimiento MIB3 con número de pieza OEM 3V0035820. La lista de números de pieza OEM MIB3 afectados se proporciona en los recursos referenciados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2025

Vulnerabilidad en Skoda y Volkswagen (CVE-2023-28912)

Fecha de publicación:
28/06/2025
Idioma:
Español
La unidad MIB3 almacena la agenda telefónica sincronizada en texto plano, lo que permite a un atacante con privilegios de ejecución de código o acceso físico al sistema obtener los datos de contacto del propietario del vehículo. La vulnerabilidad se descubrió originalmente en el Skoda Superb III con unidad de infoentretenimiento MIB3 con número de pieza OEM 3V0035820. La lista de números de pieza OEM MIB3 afectados se proporciona en los recursos referenciados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2025

Vulnerabilidad en Skoda y Volkswagen (CVE-2023-29113)

Fecha de publicación:
28/06/2025
Idioma:
Español
La unidad de infoentretenimiento MIB3 utilizada en vehículos Skoda y Volkswagen no incorpora separación de privilegios para el mecanismo propietario de comunicación entre procesos, lo que permite a los atacantes con presencia en el sistema vulnerar las restricciones de control de acceso implementadas a nivel del sistema operativo. La vulnerabilidad se descubrió originalmente en el Skoda Superb III con la unidad de infoentretenimiento MIB3 con número de pieza OEM 3V0035820. La lista de los números de pieza OEM MIB3 afectados se proporciona en los recursos referenciados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2025

Vulnerabilidad en HDF5 1.14.6 (CVE-2025-6818)

Fecha de publicación:
28/06/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como problemática en HDF5 1.14.6. La función H5O__chunk_protect del archivo /src/H5Ochunk.c está afectada. La manipulación provoca un desbordamiento del búfer en el montón. Un ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/07/2025