Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PGS Core para WordPress (CVE-2025-0855)
Fecha de publicación:
06/05/2025
Idioma:
Español
El complemento PGS Core para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 5.8.0 incluida, mediante la deserialización de entradas no confiables en la función 'import_header'. Esto permite a atacantes no autenticados inyectar un objeto PHP. No se conoce ninguna cadena POP presente en el software vulnerable. Si existe una cadena POP presente a través de un complemento o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en Crestron Automate VX (CVE-2025-47420)
Fecha de publicación:
06/05/2025
Idioma:
Español
La vulnerabilidad 266 en Crestron Automate VX permite la escalada de privilegios. Este problema afecta a Automate VX: desde 5.6.8161.21536 hasta 6.4.0.49.
Gravedad CVSS v4.0: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en Google Chrome (CVE-2025-4372)
Fecha de publicación:
06/05/2025
Idioma:
Español
Use after free en WebAudio en Google Chrome anterior a la versión 136.0.7103.92 permitía a un atacante remoto explotar la corrupción del montón mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en PGS Core para WordPress (CVE-2025-0853)
Fecha de publicación:
06/05/2025
Idioma:
Español
El complemento PGS Core para WordPress es vulnerable a la inyección SQL mediante el parámetro 'event' de la función 'save_header_builder' en todas las versiones hasta la 5.8.0 incluida, debido a un escape insuficiente del parámetro proporcionado por el usuario y a la falta de preparación de la consulta SQL existente. Esto permite a atacantes no autenticados añadir consultas SQL adicionales a las consultas ya existentes, que pueden utilizarse para extraer información confidencial de la base de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en Crestron Automate VX (CVE-2025-47418)
Fecha de publicación:
06/05/2025
Idioma:
Español
La vulnerabilidad de exposición de información confidencial a un agente no autorizado en Crestron Automate VX permite el uso indebido de la funcionalidad. No hay ninguna indicación visible cuando el sistema está grabando, y la grabación se puede habilitar remotamente mediante una API de red. Este problema afecta a Automate VX desde la versión 5.6.8161.21536 hasta la 6.4.0.49.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Crestron Automate VX (CVE-2025-47419)
Fecha de publicación:
06/05/2025
Idioma:
Español
La vulnerabilidad de transmisión de información confidencial en texto plano en Crestron Automate VX permite rastrear el tráfico de red. El dispositivo permite el acceso a la interfaz web y la API a través de puertos de red no seguros, lo que expone información confidencial, como las contraseñas de los usuarios. Este problema afecta a Automate VX desde la versión 5.6.8161.21536 hasta la 6.4.0.49.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en passport-wsfed-saml2 (CVE-2025-46572)
Fecha de publicación:
06/05/2025
Idioma:
Español
passport-wsfed-saml2 proporciona una estrategia de pasaporte para los protocolos WS-fed y SAML2. Una vulnerabilidad, presente desde la versión 3.0.5 hasta la 4.6.3 incluida, permite a un atacante suplantar la identidad de cualquier usuario del inquilino Auth0 durante la autenticación SAML mediante la manipulación de una respuesta SAML. Esto se puede lograr utilizando un objeto SAML válido firmado por el IdP configurado. Los usuarios se ven afectados específicamente cuando el proveedor de servicios utiliza passport-wsfed-saml2 y se puede obtener un documento SAML válido firmado por el proveedor de identidad. La versión 4.6.4 contiene una corrección para esta vulnerabilidad.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en passport-wsfed-saml2 (CVE-2025-46573)
Fecha de publicación:
06/05/2025
Idioma:
Español
passport-wsfed-saml2 proporciona una estrategia de pasaporte para los protocolos WS-fed y SAML2. Una vulnerabilidad, presente desde la versión 3.0.5 hasta la 4.6.3 incluida, permite a un atacante suplantar la identidad de cualquier usuario durante la autenticación SAML alterando una respuesta SAML válida. Esto se puede lograr añadiendo atributos a la respuesta. Los usuarios se ven afectados específicamente cuando el proveedor de servicios utiliza `passport-wsfed-saml2` y se puede obtener una respuesta SAML válida firmada por el proveedor de identidad. La versión 4.6.4 contiene una corrección para esta vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en SeaCMS v13.3 (CVE-2025-44073)
Fecha de publicación:
06/05/2025
Idioma:
Español
Se descubrió que SeaCMS v13.3 contiene una vulnerabilidad de inyección SQL a través del componente admin_comment_news.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en Tenda RX3 V1.0br_V16.03.13.11 (CVE-2025-44899)
Fecha de publicación:
06/05/2025
Idioma:
Español
Hay una vulnerabilidad de desbordamiento de pila en Tenda RX3 V1.0br_V16.03.13.11 En la función fromSetWifiGusetBasic de la URL web /goform/ WifiGuestSet, la manipulación del parámetro shareSpeed provoca un desbordamiento de pila.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en Google (CVE-2025-0649)
Fecha de publicación:
06/05/2025
Idioma:
Español
La cadena de entrada JSON incorrecta en las versiones de servicio de Tensorflow de Google hasta la 2.18.0 permite una recursión potencialmente ilimitada que puede provocar un bloqueo del servidor.
Gravedad CVSS v4.0: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en Libxmp (CVE-2025-47256)
Fecha de publicación:
06/05/2025
Idioma:
Español
Desde Libxmp hasta la versión 4.6.2 hay un desbordamiento de búfer basado en pila en depack_pha en loaders/prowizard/pha.c a través de un módulo rastreador de formato Pha mal formado en un archivo .mod.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025
Suscribirse a Vulnerabilidades