Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Crestron Automate VX (CVE-2025-47417)
Fecha de publicación:
06/05/2025
Idioma:
Español
Vulnerabilidad de exposición de información sensible a un actor no autorizado en Crestron Automate VX permite el uso indebido de la funcionalidad. Cuando la opción "Habilitar imágenes de depuración" en Crestron Automate VX está activa, las instantáneas del vídeo capturado o fragmentos del mismo se almacenan localmente en el sistema, sin que haya indicios visibles de que esto ocurra. Este problema afecta a Automate VX desde la versión 5.6.8161.21536 hasta la 6.4.0.49.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Quarkus (CVE-2024-12225)
Fecha de publicación:
06/05/2025
Idioma:
Español
Se detectó una vulnerabilidad en Quarkus en el módulo quarkus-security-webauthn. El módulo Quarkus WebAuthn publica endpoints REST predeterminados para el registro e inicio de sesión de los usuarios, a la vez que permite a los desarrolladores proporcionar endpoints REST personalizados. Cuando los desarrolladores proporcionan endpoints REST personalizados, los endpoints predeterminados permanecen accesibles, lo que podría permitir a los atacantes obtener una cookie de inicio de sesión que no tiene un usuario correspondiente en la aplicación Quarkus o, dependiendo de cómo esté escrita la aplicación, podría corresponder a un usuario existente sin relación con el atacante actual, lo que permite a cualquiera iniciar sesión como un usuario existente con solo conocer su nombre de usuario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en goshs (CVE-2025-46816)
Fecha de publicación:
06/05/2025
Idioma:
Español
goshs es un SimpleHTTPServer escrito en Go. A partir de la versión 0.3.4 y anteriores a la 1.0.5, ejecutar goshs sin argumentos permite que cualquiera pueda ejecutar comandos en el servidor. La función `dispatchReadPump` no verifica la opción `-c` de la CLI, lo que permite que cualquiera ejecute cualquier comando mediante websockets. La versión 1.0.5 corrige este problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en phpgt/Dom (CVE-2025-46820)
Fecha de publicación:
06/05/2025
Idioma:
Español
phpgt/Dom proporciona acceso a las API modernas de DOM. Las versiones de phpgt/Dom anteriores a la 4.1.8 exponen el token GITHUB_TOKEN en el artefacto de ejecución del flujo de trabajo de Dom. El archivo de flujo de trabajo ci.yml utiliza actions/upload-artifact@v4 para cargar el artefacto de compilación. Este artefacto es un archivo zip del directorio actual, que incluye el archivo .git/config generado automáticamente que contiene el token GITHUB_TOKEN de la ejecución. Dado que el artefacto se puede descargar antes de que finalice el flujo de trabajo, un atacante puede extraer el token del artefacto durante unos segundos y usarlo con la API de GitHub para enviar código malicioso o reescribir las confirmaciones de versiones en el repositorio. Cualquier usuario intermedio del repositorio puede verse afectado, pero el token solo debería ser válido mientras dure la ejecución del flujo de trabajo, lo que limita el tiempo de explotación. La versión 4.1.8 soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-4388)
Fecha de publicación:
06/05/2025
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) reflejado en Liferay Portal 7.4.0 a 7.4.3.131 y Liferay DXP 2024.Q4.0 a 2024.Q4.5, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.12, 7.4 GA hasta la actualización 92 permite que un atacante remoto no autenticado inyecte JavaScript en modules/apps/marketplace/marketplace-app-manager-web.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en TCP de Logstash (CVE-2025-37730)
Fecha de publicación:
06/05/2025
Idioma:
Español
Una validación incorrecta del certificado en la salida TCP de Logstash podría provocar un ataque de intermediario (MitM) en modo “client”, ya que no se estaba realizando la verificación del nombre de host en la salida TCP cuando se configuraba ssl_verification_mode => full.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Tenda RX3 V1.0br_V16.03.13.11 (CVE-2025-44900)
Fecha de publicación:
06/05/2025
Idioma:
Español
En Tenda RX3 V1.0br_V16.03.13.11 en la función GetParentControlInfo de la URL web /goform/GetParentControlInfo, la manipulación del parámetro mac provoca un desbordamiento de pila.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en ZITADEL (CVE-2025-46815)
Fecha de publicación:
06/05/2025
Idioma:
Español
El software de infraestructura de identidad ZITADEL ofrece a los desarrolladores la posibilidad de gestionar sesiones de usuario mediante la API de sesión. Esta API permite el uso de proveedores de identidad (IdP) para la autenticación, conocidos como intentos de IdP. Tras un intento de IdP exitoso, el cliente recibe un ID y un token en una URI predefinida. Estos ID y token pueden utilizarse para autenticar al usuario o su sesión. Sin embargo, antes de las versiones 3.0.0, 2.71.9 y 2.70.10, era posible explotar esta función mediante el uso repetido de intentos. Esto permitía a un atacante con acceso a la URI de la aplicación recuperar el ID y el token, lo que le permitía autenticarse en nombre del usuario. Es importante tener en cuenta que el uso de factores adicionales (MFA) impide un proceso de autenticación completo y, en consecuencia, el acceso a la API de ZITADEL. Las versiones 3.0.0, 2.71.9 y 2.70.10 contienen una solución para este problema. No se conocen workarounds aparte de la actualización.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en Kibana (CVE-2025-25014)
Fecha de publicación:
06/05/2025
Idioma:
Español
Una vulnerabilidad de contaminación del prototipo en Kibana conduce a la ejecución de código arbitrario a través de solicitudes HTTP manipuladas para endpoints de aprendizaje automático y de generación de informes.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en Finit (CVE-2025-32022)
Fecha de publicación:
06/05/2025
Idioma:
Español
Finit proporciona un inicio rápido para sistemas Linux. El complemento urandom de Finit presenta una vulnerabilidad de sobrescritura del búfer del montón durante el arranque, lo que provoca que sobrescriba otras partes del montón, lo que podría causar inestabilidades aleatorias y un comportamiento indefinido. El complemento urandom está habilitado por defecto, por lo que este error afecta a todos los usuarios de Finit 4.2 o posterior que no lo desactiven explícitamente durante la compilación. Este error se corrigió en Finit 4.12. Se recomienda encarecidamente a quienes no puedan actualizar o implementar la corrección a urandom.c que desactiven el complemento al llamar al script `configure`.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en MrDoc v0.95 (CVE-2025-45250)
Fecha de publicación:
06/05/2025
Idioma:
Español
MrDoc v0.95 y anteriores son vulnerables a Server-Side Request Forgery (SSRF) en la función validate_url del archivo app_doc/utils.py.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Terraform WinDNS Provider (CVE-2025-46735)
Fecha de publicación:
06/05/2025
Idioma:
Español
Terraform WinDNS Provider permite a los usuarios administrar los recursos de su servidor DNS de Windows a través de Terraform. Se detectó un problema de seguridad en e Terraform WinDNS Provider anterior a la versión 1.0.5. El recurso `windns_record` no depuraba las variables de entrada. Esto podría provocar la inyección de comandos autenticados en el símbolo del sistema de PowerShell subyacente. La versión 1.0.5 contiene una solución para este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
07/05/2025
Suscribirse a Vulnerabilidades