Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en caipeichao ThinkOX 1.0 (CVE-2025-3152)
Fecha de publicación:
03/04/2025
Idioma:
Español
Se ha detectado una vulnerabilidad clasificada como problemática en caipeichao ThinkOX 1.0. Esta afecta a una parte desconocida del archivo /ThinkOX-master/index.php?s=/Weibo/Index/search.html del componente Search. La manipulación de las palabras clave del argumento provoca ataques de cross site scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en kernel de Linux (CVE-2025-22005)
Fecha de publicación:
03/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ipv6: Se corrigió la fuga de memoria de nhc_pcpu_rth_output en fib_check_nh_v6_gw(). fib_check_nh_v6_gw() espera que fib6_nh_init() limpie todo cuando falla. El commit 7dd73168e273 ("ipv6: Asignar siempre memoria pcpu en un fib6_nh") movió fib_nh_common_init() antes de alloc_percpu_gfp() dentro de fib6_nh_init(), pero olvidó añadir la limpieza para fib6_nh->nh_common.nhc_pcpu_rth_output en caso de que no se asigne fib6_nh->rt6i_pcpu, lo que resulta en una fuga de memoria. Invoquemos fib_nh_common_release() y borremos nhc_pcpu_rth_output en la ruta de error. Tenga en cuenta que podemos eliminar la llamada a fib6_nh_release() en nh_create_ipv6() más adelante en net-next.git.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2025-22006)
Fecha de publicación:
03/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: ethernet: ti: am65-cpsw: Se ha corregido la secuencia de registro de NAPI. Registrar las interrupciones para los canales DMA TX o RX antes de registrar sus respectivas devoluciones de llamada NAPI puede provocar una desreferencia de puntero nulo. En la práctica, esto se considera un evento aleatorio, ya que depende de la aleatoriedad asociada con la generación de tráfico por parte de Linux y la recepción de tráfico desde la red.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2025

Vulnerabilidad en kernel de Linux (CVE-2025-22007)
Fecha de publicación:
03/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: Corrección del código de error en chan_alloc_skb_cb(). La función chan_alloc_skb_cb() debe devolver indicadores de error en caso de error. Devolver NULL provocará una desreferencia a NULL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en User Submitted Posts – Enable Users to Submit Posts from the Front End para WordPress (CVE-2025-2874)
Fecha de publicación:
03/04/2025
Idioma:
Español
El complemento User Submitted Posts – Enable Users to Submit Posts from the Front End para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en todas las versiones hasta la 20240319 incluida, debido a una depuración de entrada y al escape de salida insuficiente. Esto permite a atacantes autenticados, con permisos de administrador o superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada. Esto solo afecta a instalaciones multisitio y a instalaciones donde se ha deshabilitado unfiltered_html.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en itning Student Homework Management System (CVE-2025-3149)
Fecha de publicación:
03/04/2025
Idioma:
Español
Se encontró una vulnerabilidad en itning Student Homework Management System hasta la versión 1.2.7. Se ha clasificado como problemática. Se ve afectada una función desconocida del archivo /shw_war/fileupload del componente "Editar Página de Trabajo". La manipulación del argumento "Curso" provoca cross site scripting. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/08/2025

Vulnerabilidad en itning Student Homework Management System (CVE-2025-3150)
Fecha de publicación:
03/04/2025
Idioma:
Español
Se encontró una vulnerabilidad en itning Student Homework Management System hasta la versión 1.2.7. Se ha declarado problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida. La manipulación provoca cross-site request forgery. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Múltiples endpoints podrían verse afectados.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/08/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21996)
Fecha de publicación:
03/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/radeon: soluciona el problema de tamaño no inicializado en radeon_vce_cs_parse() En el improbable caso de que el flujo de comandos pasado desde el espacio de usuario a través de la llamada ioctl() a radeon_vce_cs_parse() esté manipulado de forma extraña y el primer comando a ejecutar sea codificar (caso 0x03000001), la función en cuestión intentará llamar a radeon_vce_cs_reloc() con el argumento de tamaño que no se ha inicializado correctamente. Específicamente, 'size' apuntará a la variable 'tmp' antes de que a esta última se le haya asignado algún valor. Vaya a lo seguro e inicialice 'tmp' con 0, lo que garantiza que radeon_vce_cs_reloc() detecte un error temprano en casos como estos. Encontrado por el Centro de Verificación de Linux (linuxtesting.org) con la herramienta de análisis estático SVACE. (seleccionado del commit 2d52de55f9ee7aaee0e09ac443f77855989c6b68)
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21997)
Fecha de publicación:
03/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: xsk: se corrige un desbordamiento de entero en xp_create_and_assign_umem(). Dado que las variables i y pool->chunk_size son de tipo 'u32', su producto puede encapsularse y luego convertirse a 'u64'. Esto puede provocar que dos búferes XDP diferentes apunten a la misma área de memoria. Encontrado por InfoTeCS en nombre del Centro de Verificación de Linux (linuxtesting.org) con SVACE.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21998)
Fecha de publicación:
03/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: firmware: qcom: uefisecapp: corrección de la ejecución de registro de efivars. Desde la conversión al uso del asignador TZ, el servicio efivars se registra antes de asignar el pool de memoria, lo que puede provocar una desreferencia de puntero nulo en caso de un acceso a variable EFI en ejecución. Asegúrese de que todos los recursos estén configurados antes de registrar las efivars.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2025

Vulnerabilidad en kernel de Linux (CVE-2025-22000)
Fecha de publicación:
03/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/huge_memory: se eliminan folios posteriores al fin del archivo con el número correcto de referencias. Cuando un folio, tras la división, es grande y debe eliminarse debido al fin del archivo, se debe usar folio_put_refs(folio, folio_nr_pages(folio)) para eliminar todas las referencias de la caché de páginas. De lo contrario, el folio no se liberará, lo que provocará una fuga de memoria. Esta fuga ocurriría en un sistema de archivos con un tamaño de bloque superior a page_size y se realiza un truncamiento, donde el tamaño de bloque hace que los folios se dividan a folios de orden superior a 0, lo que impide la liberación de los folios truncados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2025

Vulnerabilidad en kernel de Linux (CVE-2025-22001)
Fecha de publicación:
03/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: accel/qaic: Se corrige el desbordamiento de enteros en qaic_validate_req(). Estas son variables u64 que provienen del usuario mediante qaic_attach_slice_bo_ioctl(). Use check_add_overflow() para garantizar que los cálculos no presenten un error de envoltura de enteros.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2025
Suscribirse a Vulnerabilidades