Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en pbkdf2 (CVE-2025-6547)

Fecha de publicación:
23/06/2025
Idioma:
Español
La vulnerabilidad de validación de entrada incorrecta en pbkdf2 permite la suplantación de firma mediante una validación incorrecta. Este problema afecta a pbkdf2: <=3.1.2.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/06/2025

Vulnerabilidad en PHPGurukul Pre-School Enrollment System Project V1.0 (CVE-2025-50349)

Fecha de publicación:
23/06/2025
Idioma:
Español
PHPGurukul Pre-School Enrollment System Project V1.0 es vulnerable a Directory Traversal en update-teacher-pic.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/06/2025

Vulnerabilidad en PHPGurukul Pre-School Enrollment System Project V1.0 (CVE-2025-50348)

Fecha de publicación:
23/06/2025
Idioma:
Español
PHPGurukul Pre-School Enrollment System Project V1.0 es vulnerable a Directory Traversal en update-class-pic.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/06/2025

Vulnerabilidad en Notepad++ (CVE-2025-49144)

Fecha de publicación:
23/06/2025
Idioma:
Español
Notepad++ es un editor de código fuente gratuito y de código abierto. En las versiones 8.8.1 y anteriores, existe una vulnerabilidad de escalada de privilegios en el instalador de Notepad++ v8.8.1 que permite a usuarios sin privilegios obtener privilegios de sistema mediante rutas de búsqueda de ejecutables inseguras. Un atacante podría usar ingeniería social o clickjacking para engañar a los usuarios y que descarguen tanto el instalador legítimo como un ejecutable malicioso en el mismo directorio (normalmente la carpeta Descargas, conocida como directorio vulnerable). Al ejecutar el instalador, el ataque se ejecuta automáticamente con privilegios de sistema. Este problema se ha solucionado y se publicará en la versión 8.8.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/06/2025

Vulnerabilidad en Dromara MaxKey (CVE-2025-6517)

Fecha de publicación:
23/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en Dromara MaxKey hasta la versión 4.1.7, clasificada como crítica. Este problema afecta a la función "Add" del archivo maxkey-webs\maxkey-web-mgt\src\main\java\org\dromara\maxkey\web\apps\contorller\SAML20DetailsController.java del componente Meta URL Handler. La manipulación del argumento "post" provoca Server-Side Request Forgery. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/06/2025

Vulnerabilidad en Visionatrix (CVE-2025-49126)

Fecha de publicación:
23/06/2025
Idioma:
Español
Visionatrix es una herramienta de procesamiento de medios de IA que utiliza ComfyUI. En las versiones 1.5.0 y anteriores a la 2.5.1, el endpoint /docs/flows es vulnerable a un ataque XSS reflejado (Cross-Site Scripting), que permite el control total de la aplicación y la exfiltración de los secretos almacenados en ella. La implementación utiliza la función get_swagger_ui_html de FastAPI. Esta función no codifica ni depura sus argumentos antes de usarlos para generar el HTML de la página de documentación de Swagger y no está diseñada para usarse con argumentos controlados por el usuario. Cualquier usuario de esta aplicación puede ser objeto de un ataque de un solo clic que puede controlar su sesión y todos los secretos que contenga. Este problema se ha corregido en la versión 2.5.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/06/2025

Vulnerabilidad en NCR Terminal Handler v.1.5.1 (CVE-2023-47029)

Fecha de publicación:
23/06/2025
Idioma:
Español
Un problema en NCR Terminal Handler v.1.5.1 permite que un atacante remoto ejecute código arbitrario y obtenga información confidencial a través de una solicitud POST manipulada para el componente UserService.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2025

Vulnerabilidad en HDF5 (CVE-2025-6516)

Fecha de publicación:
23/06/2025
Idioma:
Español
Se ha detectado una vulnerabilidad en HDF5 hasta la versión 1.14.6, clasificada como crítica. Esta vulnerabilidad afecta a la función H5F_addr_decode_len del archivo /hdf5/src/H5Fint.c. La manipulación provoca un desbordamiento del búfer en el montón. Un ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/06/2025

Vulnerabilidad en Netgear EX6150 1.0.0.46_1.0.76 (CVE-2025-6511)

Fecha de publicación:
23/06/2025
Idioma:
Español
Se ha detectado una vulnerabilidad crítica en Netgear EX6150 1.0.0.46_1.0.76. Esta afecta a la función sub_410090. La manipulación provoca un desbordamiento del búfer en la pila. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/06/2025

Vulnerabilidad en ClickHouse 25.7.1.557 (CVE-2025-52969)

Fecha de publicación:
23/06/2025
Idioma:
Español
ClickHouse 25.7.1.557 permite a usuarios con privilegios bajos ejecutar comandos de shell consultando tablas Executable() existentes creadas por usuarios con privilegios altos. Aunque el privilegio CREATE TABLE está restringido, no existe control de acceso que impida a usuarios con privilegios bajos invocar tablas Executable ya existentes en el sistema. Si un atacante puede influir en el contenido del script al que hace referencia el motor Executable() mediante rutas de escritura, podría ejecutar comandos controlados en el contexto del servidor ClickHouse, lo que provocaría una escalada de privilegios y la ejecución de código no autorizado. NOTA: El proveedor considera que este tipo de ejecuciones por parte de usuarios con privilegios bajos es el comportamiento esperado.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/07/2025

Vulnerabilidad en NCR Terminal Handler v.1.5.1 (CVE-2023-47031)

Fecha de publicación:
23/06/2025
Idioma:
Español
Un problema en NCR Terminal Handler v.1.5.1 permite que un atacante remoto escale privilegios a través de una solicitud POST manipulada para el componente API SOAP grantRolesToUsers, grantRolesToGroups y grantRolesToOrganization.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/06/2025

Vulnerabilidad en seaswalker spring-analysis (CVE-2025-6509)

Fecha de publicación:
23/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en seaswalker spring-analysis hasta la versión 4379cce848af96997a9d7ef91d594aa129be8d71. Se ha declarado problemática. Esta vulnerabilidad afecta a la función echo del archivo /src/main/java/controller/SimpleController.java. La manipulación del argumento "Name" provoca cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza el enfoque de lanzamiento continuo para garantizar una entrega continua. Por lo tanto, no se dispone de información sobre las versiones afectadas ni sobre las actualizadas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/06/2025