Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en code-projects Simple Online Hotel Reservation System 1.0 (CVE-2025-6578)

Fecha de publicación:
24/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Simple Online Hotel Reservation System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/delete_account.php. La manipulación del argumento "admin_id" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/07/2025

Vulnerabilidad en ESF-IDF (CVE-2025-52471)

Fecha de publicación:
24/06/2025
Idioma:
Español
ESF-IDF es el framework de desarrollo de Espressif para el Internet de las Cosas (IoT). Se ha identificado una vulnerabilidad de subdesbordamiento de enteros en la implementación del protocolo ESP-NOW dentro del componente Wi-Fi ESP de las versiones 5.4.1, 5.3.3, 5.2.5 y 5.1.6 del marco ESP-IDF. Este problema se debe a una validación insuficiente de la longitud de los datos proporcionados por el usuario en la función de recepción de paquetes. En determinadas circunstancias, esto puede provocar accesos a memoria fuera de los límites y permitir operaciones de escritura arbitrarias. En sistemas sin un esquema de protección de memoria, este comportamiento podría utilizarse para lograr la ejecución remota de código (RCE) en el dispositivo de destino. En las versiones 5.4.2, 5.3.4, 5.2.6 y 5.1.6, ESP-NOW ha añadido una lógica de validación más completa sobre la longitud de los datos proporcionados por el usuario durante la recepción de paquetes para evitar el subdesbordamiento de enteros causado por cálculos de valores negativos. Para ESP-IDF v5.3 y versiones anteriores, se puede aplicar una solución alternativa validando que el parámetro `data_len` recibido en la devolución de llamada RX (registrado mediante `esp_now_register_recv_cb()`) sea un valor positivo antes de continuar con el procesamiento. Para ESP-IDF v5.4 y versiones posteriores, no hay ninguna solución alternativa a nivel de aplicación. Se recomienda a los usuarios actualizar a una versión parcheada de ESP-IDF para aprovechar la mitigación integrada.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/06/2025

Vulnerabilidad en Hikka (CVE-2025-52571)

Fecha de publicación:
24/06/2025
Idioma:
Español
Hikka es un bot de usuario de Telegram. Una vulnerabilidad afecta a todos los usuarios de versiones anteriores a la 1.6.2, incluyendo la mayoría de las bifurcaciones. Permite a un atacante no autenticado acceder a la cuenta de Telegram de la víctima, así como a todo el servidor. El problema está corregido en la versión 1.6.2. No se conocen soluciones alternativas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/06/2025

Vulnerabilidad en Komga (CVE-2025-52880)

Fecha de publicación:
24/06/2025
Idioma:
Español
Komga es un servidor multimedia para cómics, mangas, BD, revistas y eBooks. Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en las versiones 1.8.0 a 1.21.3 al servir recursos EPUB, ya sea directamente desde la API o al leerlos con el lector de EPUB. Esta vulnerabilidad permite a un atacante realizar acciones en nombre de la víctima. Al atacar a un usuario administrador, esto puede combinarse con el control de un comando del servidor para ejecutar código arbitrario. Para explotar esta vulnerabilidad, es necesario que un archivo EPUB malicioso esté presente en una librería de Komga y que un usuario administrador acceda a él en el lector de EPUB. La versión 1.22.0 contiene un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/06/2025

Vulnerabilidad en Claude Code (CVE-2025-52882)

Fecha de publicación:
24/06/2025
Idioma:
Español
Claude Code es una herramienta de codificación agentica. Las extensiones de Claude Code en VSCode y sus bifurcaciones (p. ej., Cursor, Windsurf y VSCodium) y los IDE de JetBrains (p. ej., IntelliJ, Pycharm y Android Studio) son vulnerables a conexiones websocket no autorizadas de un atacante al visitar páginas web controladas por el atacante. Las extensiones de Claude Code para VSCode IDE, versiones 0.2.116 a 1.0.23, son vulnerables. Para los complementos de Jetbrains IDE, las versiones 0.1.1 a 0.1.8 de Claude Code [beta] son vulnerables. En VSCode (y sus bifurcaciones), la explotación permitiría a un atacante leer archivos arbitrarios, ver la lista de archivos abiertos en el IDE, obtener eventos de selección y diagnóstico del IDE, o ejecutar código en situaciones limitadas donde un usuario tiene un Jupyter Notebook abierto y acepta un mensaje malicioso. En los IDE de JetBrains, un atacante podría obtener eventos de selección, una lista de archivos abiertos y una lista de errores de sintaxis. Claude publicó un parche para este problema el 13 de junio de 2025. Aunque Claude Code se actualiza automáticamente al iniciarlo y también actualiza las extensiones, se recomienda seguir los pasos que se indican a continuación, aunque los pasos exactos dependen del entorno de desarrollo integrado (IDE) de cada usuario. Para VSCode, Cursor, Windsurf, VSCodium y otras bifurcaciones de VSCode, consulte la extensión Claude Code para VSCode. Abra la lista de extensiones (Ver->Extensiones), busque Claude Code para VSCode entre las extensiones instaladas, actualice o desinstale cualquier versión anterior a la 1.0.24 y reinicie el IDE. Para los IDE de JetBrains, como IntelliJ, PyCharm y Android Studio, consulte el complemento Claude Code [Beta]. Abra la lista de complementos, busque Claude Code [Beta] entre las extensiones instaladas, actualice o desinstale cualquier versión anterior a la 0.1.9 y reinicie el IDE.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/06/2025

Vulnerabilidad en Allure 2 (CVE-2025-52888)

Fecha de publicación:
24/06/2025
Idioma:
Español
Allure 2 es la versión 2.x de Allure Report, una herramienta multilingüe para la generación de informes de pruebas. Existe una vulnerabilidad crítica de Entidad Externa XML (XXE) en el complemento xunit-xml utilizado por Allure 2 en versiones anteriores a la 2.34.1. El complemento no configura de forma segura el analizador XML (`DocumentBuilderFactory`) y permite la expansión de entidades externas al procesar archivos .xml de resultados de pruebas. Esto permite a los atacantes leer archivos arbitrarios del sistema de archivos y, potencialmente, activar server-side request forgery (SSRF). La versión 2.34.1 incluye un parche para este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/06/2025

Vulnerabilidad en Moodle (CVE-2025-53021)

Fecha de publicación:
24/06/2025
Idioma:
Español
Una vulnerabilidad de fijación de sesión en Moodle 3.x a 3.11.18 permite a atacantes no autenticados secuestrar sesiones de usuario mediante el parámetro sesskey. Este parámetro se puede obtener sin autenticación y reutilizar en el flujo de inicio de sesión de OAuth2, lo que vincula la sesión de la víctima a la del atacante. Una explotación exitosa resulta en la apropiación total de la cuenta. Según la página de versiones de Moodle, "Las correcciones de errores de seguridad en 3.11.x finalizaron el 11 de diciembre de 2023". NOTA: Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2025

Vulnerabilidad en ControlID iDSecure On-premises (CVE-2025-49853)

Fecha de publicación:
24/06/2025
Idioma:
Español
Las versiones 4.7.48.0 y anteriores de ControlID iDSecure On-premises son vulnerables a inyecciones de SQL que podrían permitir a un atacante filtrar información arbitraria e insertar sintaxis SQL arbitraria en consultas SQL.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/07/2025

Vulnerabilidad en ControlID iDSecure On-premises (CVE-2025-49852)

Fecha de publicación:
24/06/2025
Idioma:
Español
Las versiones 4.7.48.0 y anteriores de ControlID iDSecure On-premises son afectadas por una vulnerabilidad de server-side request forgery que podría permitir que un atacante no autenticado recupere información de otros servidores.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/07/2025

Vulnerabilidad en ControlID iDSecure On-premises (CVE-2025-49851)

Fecha de publicación:
24/06/2025
Idioma:
Español
Las versiones 4.7.48.0 y anteriores de ControlID iDSecure On-premises son afectados por una vulnerabilidad de autenticación incorrecta que podría permitir que un atacante eluda la autenticación y obtenga permisos en el producto.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/07/2025

Vulnerabilidad en Netbox Community 4.1.7 (CVE-2024-56917)

Fecha de publicación:
24/06/2025
Idioma:
Español
Netbox Community 4.1.7 es vulnerable a Cross Site Scripting (XSS) a través del banner de mantenimiento en modo de mantenimiento.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2025

Vulnerabilidad en mmzdev KnowledgeGPT V.0.0.5 (CVE-2024-37743)

Fecha de publicación:
24/06/2025
Idioma:
Español
Un problema en mmzdev KnowledgeGPT V.0.0.5 permite que un atacante remoto ejecute código arbitrario a través del componente de visualización de documentos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2025