Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Asterisk (CVE-2025-47779)

Fecha de publicación:
22/05/2025
Idioma:
Español
Asterisk es una centralita privada (PBX) de código abierto. En versiones anteriores a las 18.26.2, 20.14.1, 21.9.1 y 22.4.1 de Asterisk, y a las versiones 18.9-cert14 y 20.7-cert5 de Asterisk certificado, las solicitudes SIP con autenticación de tipo MESSAGE (RFC 3428) no se alineaban correctamente. Un atacante autenticado puede suplantar la identidad de cualquier usuario para enviarle spam con su token de autorización. El abuso de este problema de seguridad permite a los atacantes autenticados enviar mensajes de chat falsos, que pueden falsificarse para que parezcan provenir de entidades de confianza. Incluso los administradores que siguen las mejores prácticas y consideraciones de seguridad pueden verse afectados. Por lo tanto, el abuso puede generar spam y facilitar la ingeniería social, el phishing y ataques similares. Las versiones 18.26.2, 20.14.1, 21.9.1 y 22.4.1 de Asterisk y las versiones 18.9-cert14 y 20.7-cert5 de certified-asterisk solucionan el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/05/2025

Vulnerabilidad en Asterisk (CVE-2025-47780)

Fecha de publicación:
22/05/2025
Idioma:
Español
Asterisk es una centralita privada (PBX) de código abierto. En versiones anteriores a las 18.26.2, 20.14.1, 21.9.1 y 22.4.1 de Asterisk, y a las 18.9-cert14 y 20.7-cert5 de certified-asterisk, intentar impedir la ejecución de comandos de shell a través de la interfaz de línea de comandos (CLI) de Asterisk configurando `cli_permissions.conf` (por ejemplo, con la línea de configuración `deny=!*`) no funciona, lo que podría suponer un riesgo de seguridad. Si un administrador que ejecuta una instancia de Asterisk depende del archivo `cli_permissions.conf` para funcionar y espera que este deniegue todos los intentos de ejecutar comandos de shell, esto podría provocar una vulnerabilidad de seguridad. Las versiones 18.26.2, 20.14.1, 21.9.1 y 22.4.1 de Asterisk y las versiones 18.9-cert14 y 20.7-cert5 de certified-asterisk solucionan el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/05/2025

Vulnerabilidad en autodeploy-layer v1.2.0 (CVE-2025-45472)

Fecha de publicación:
22/05/2025
Idioma:
Español
Los permisos inseguros en autodeploy-layer v1.2.0 permiten a los atacantes aumentar los privilegios y comprometer la cuenta en la nube del cliente.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/05/2025

Vulnerabilidad en ASPECT (CVE-2024-48850)

Fecha de publicación:
22/05/2025
Idioma:
Español
Las vulnerabilidades de cruce absoluto de archivos en ASPECT permiten el acceso y la modificación de recursos no deseados. Este problema afecta a ASPECT-Enterprise (hasta la versión 3.08.03); Serie NEXUS (hasta la versión 3.08.03); Serie MATRIX (hasta la versión 3.08.03).
Gravedad CVSS v4.0: ALTA
Última modificación:
23/05/2025

Vulnerabilidad en ASPECT (CVE-2024-48853)

Fecha de publicación:
22/05/2025
Idioma:
Español
Una vulnerabilidad de escalada de privilegios en ASPECT podría proporcionar a un atacante acceso root a un servidor al iniciar sesión como usuario no root de ASPECT. Este problema afecta a ASPECT-Enterprise (hasta la versión 3.08.03); Serie NEXUS (hasta la versión 3.08.03); Serie MATRIX (hasta la versión 3.08.03).
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/05/2025

Vulnerabilidad en IBM Aspera Faspex (CVE-2025-33136)

Fecha de publicación:
22/05/2025
Idioma:
Español
IBM Aspera Faspex 5.0.0 a 5.0.12 podría permitir que un usuario autenticado obtenga información confidencial o realice acciones no autorizadas en nombre de otro usuario debido a la protección inadecuada de datos supuestamente inmutables.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/05/2025

Vulnerabilidad en IBM Aspera Faspex (CVE-2025-33137)

Fecha de publicación:
22/05/2025
Idioma:
Español
IBM Aspera Faspex 5.0.0 a 5.0.12 podría permitir que un usuario autenticado obtenga información confidencial o realice acciones no autorizadas en nombre de otro usuario debido a la aplicación de la seguridad del lado del servidor por parte del cliente.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/05/2025

Vulnerabilidad en IBM Aspera Faspex (CVE-2025-33138)

Fecha de publicación:
22/05/2025
Idioma:
Español
IBM Aspera Faspex 5.0.0 a 5.0.12 es vulnerable a la inyección de HTML. Un atacante remoto podría inyectar código HTML malicioso que, al visualizarse, se ejecutaría en el navegador web de la víctima dentro del contexto de seguridad del sitio web que lo aloja.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/05/2025

Vulnerabilidad en Campcodes Cybercafe Management System 1.0 (CVE-2025-5081)

Fecha de publicación:
22/05/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como crítica en Campcodes Cybercafe Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /adminprofile.php. La manipulación del argumento "mobilenumber" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/05/2025

Vulnerabilidad en Pingora (CVE-2025-4366)

Fecha de publicación:
22/05/2025
Idioma:
Español
Una vulnerabilidad de contrabando de solicitudes identificada en pingora-proxy, el framework de proxy de Pingora, permite la inyección de solicitudes HTTP maliciosas mediante cuerpos de solicitud manipulados en los HIT de caché, lo que provoca la ejecución no autorizada de solicitudes y un posible envenenamiento de la caché. Corregido en: https://github.com/cloudflare/pingora/commit/fda3317ec822678564d641e7cf1c9b77ee3759ff https://github.com/cloudflare/pingora/commit/fda3317ec822678564d641e7cf1c9b77ee3759ff Impacto: El problema podría provocar contrabando de solicitudes cuando se utiliza pingora-proxy, el framework de proxy de Pingora, para el almacenamiento en caché, lo que permite a un atacante manipular encabezados y URL en solicitudes posteriores realizadas en la misma conexión HTTP/1.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/05/2025

Vulnerabilidad en pglogical (CVE-2025-2506)

Fecha de publicación:
22/05/2025
Idioma:
Español
Cuando pglogical intenta replicar datos, no verifica si está utilizando una conexión de replicación. Esto significa que un usuario con acceso CONNECT a una base de datos configurada para replicación puede ejecutar el comando pglogical para obtener acceso de lectura a las tablas replicadas. Al ejecutarse, pglogical debería verificar si está ejecutándose en una conexión de replicación, pero no realiza esta comprobación. Esta vulnerabilidad se introdujo en el código base de pglogical 3.x, propiedad de EDB. Este mismo código base se ha integrado en BDR/PGD 4 y 5. Para explotar esta vulnerabilidad, el atacante necesita al menos permisos CONNECT a una base de datos configurada para replicación, comprender varios comandos específicos de pglogical3/BDR y ser capaz de decodificar el protocolo binario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/05/2025

Vulnerabilidad en fc-stable-diffusion-plus v1.0.18 (CVE-2025-45468)

Fecha de publicación:
22/05/2025
Idioma:
Español
Los permisos inseguros en fc-stable-diffusion-plus v1.0.18 permiten a los atacantes escalar privilegios y comprometer la cuenta en la nube del cliente.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/05/2025