Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en GLPI (CVE-2025-53111)
Fecha de publicación:
30/07/2025
Idioma:
Español
GLPI es un paquete gratuito de software de gestión de activos y TI. En las versiones 0.80 a 10.0.18, la falta de verificación de permisos puede provocar acceso no autorizado a algunos recursos. Esto se solucionó en la versión 10.0.19.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2025

Vulnerabilidad en GLPI (CVE-2025-53112)
Fecha de publicación:
30/07/2025
Idioma:
Español
GLPI es un paquete gratuito de software de gestión de activos y TI que ofrece funciones de ITIL Service Desk, seguimiento de licencias y auditoría de software. En las versiones 9.1.0 a 10.0.18, la falta de comprobaciones de permisos podía provocar la eliminación no autorizada de algunos recursos específicos. Esto se ha corregido en la versión 10.0.19.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2025

Vulnerabilidad en GLPI (CVE-2025-53113)
Fecha de publicación:
30/07/2025
Idioma:
Español
GLPI, acrónimo de Gestionnaire Libre de Parc Informatique, es un paquete de software gratuito para la gestión de activos y TI que ofrece funciones de ITIL Service Desk, seguimiento de licencias y auditoría de software. En las versiones 0.65 a 10.0.18, un técnico puede usar la función de enlaces externos para obtener información sobre elementos a los que no tiene acceso. Esto se solucionó en la versión 10.0.19.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/08/2025

Vulnerabilidad en HP LaserJet Pro (CVE-2025-43018)
Fecha de publicación:
30/07/2025
Idioma:
Español
Algunas impresoras HP LaserJet Pro pueden ser vulnerables a la divulgación de información cuando un usuario no autenticado consulta la libreta de direcciones local de un dispositivo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/07/2025

CVE-2025-46811
Fecha de publicación:
30/07/2025
Idioma:
Español
Una vulnerabilidad de Autenticación Inexistente para Funciones Críticas en SUSE Manager permite que cualquier persona con acceso al websocket en /rhn/websocket/minion/remote-commands ejecute comandos arbitrarios como root. Este problema afecta a Container suse/manager/5.0/x86_64/server:5.0.5.7.30.1: desde ? anterior a 0.3.7-150600.3.6.2; Container suse/manager/5.0/x86_64/server:5.0.5.7.30.1: desde ? anterior a 5.0.14-150600.4.17.1; Container suse/manager/5.0/x86_64/server:5.0.5.7.30.1: desde ? anterior a 5.0.14-150600.4.17.1; Imagen SLES15-SP4-Manager-Server-4-3-BYOS: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-Azure: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-Azure: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-EC2: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-EC2: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-GCE: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-GCE: de ? anterior a 4.3.33-150400.3.55.2; SUSE Manager Server Module 4.3: de ? anterior a 0.3.7-150400.3.39.4; SUSE Manager Server Module 4.3: de ? anterior a 4.3.33-150400.3.55.2; SUSE Manager Server Module 4.3: de ? antes del 4.3.33-150400.3.55.2.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en Zimbra Collaboration (CVE-2024-45515)
Fecha de publicación:
30/07/2025
Idioma:
Español
Se descubrió un problema en Zimbra Collaboration (ZCS) hasta la versión 10.1. Existe una vulnerabilidad de cross-site scripting (XSS) en el correo web de Zimbra debido a una validación insuficiente de los metadatos del tipo de contenido al importar archivos al maletín. Los atacantes pueden explotar este problema creando un archivo con metadatos manipulados, lo que les permite eludir las comprobaciones del tipo de contenido y ejecutar JavaScript arbitrario en la sesión de la víctima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/08/2025

Vulnerabilidad en Umbraco (CVE-2025-54425)
Fecha de publicación:
30/07/2025
Idioma:
Español
Umbraco es un CMS ASP.NET. En las versiones 13.0.0 a 13.9.2, 15.0.0 a 15.4.1 y 16.0.0 a 16.1.0, se puede restringir el acceso público a la API de entrega de contenido, donde se debe proporcionar una clave de API en un encabezado para autorizar la solicitud. También es posible configurar el almacenamiento en caché de salida, de modo que las salidas de la API de entrega se almacenen en caché durante un período, lo que mejora el rendimiento. Existe un problema cuando se utilizan estas dos opciones juntas: el almacenamiento en caché no varía según el encabezado que contiene la clave de API. Por lo tanto, es posible que un usuario sin una clave de API válida recupere una respuesta para una ruta y consulta determinadas si se ha solicitado recientemente y se ha almacenado en caché mediante una solicitud con una clave válida. Esto se solucionó en las versiones 13.9.3, 15.4.4 y 16.1.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/07/2025

Vulnerabilidad en dedupe (CVE-2025-54430)
Fecha de publicación:
30/07/2025
Idioma:
Español
dedupe es una librería de Python que utiliza aprendizaje automático para realizar coincidencias difusas, deduplicación y resolución de entidades rápidamente en datos estructurados. Antes del commit 3f61e79, se identificó una vulnerabilidad crítica en el flujo de trabajo .github/workflows/benchmark-bot.yml, donde se puede activar un issue_comment mediante el cuerpo @benchmark. Este flujo de trabajo es susceptible de explotación, ya que extrae ${{ github.event.issue.number }}, que corresponde a la rama del PR manipulada por actores potencialmente maliciosos, y donde se puede ejecutar código no confiable. La ejecución de código no confiable puede provocar la exfiltración de GITHUB_TOKEN, que en este flujo de trabajo tiene permisos de escritura en la mayoría de los ámbitos, en particular en el de contenido, y podría provocar la toma de control del repositorio. Esto se solucionó con el commit 3f61e79.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en Ruby SAML (CVE-2025-54572)
Fecha de publicación:
30/07/2025
Idioma:
Español
La librería Ruby SAML permite implementar el lado cliente de una autorización SAML. En las versiones 1.18.0 y anteriores, existe una vulnerabilidad de denegación de servicio en ruby-saml, incluso con la opción message_max_bytesize configurada. Esta vulnerabilidad se produce porque la respuesta SAML se valida para el formato Base64 antes de verificar el tamaño del mensaje, lo que puede provocar un agotamiento de recursos. Esto se solucionó en la versión 1.18.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/07/2025

Vulnerabilidad en Moby (CVE-2025-54388)
Fecha de publicación:
30/07/2025
Idioma:
Español
Moby es un framework de contenedores de código abierto desarrollado por Docker Inc. y distribuido como Docker Engine, Mirantis Container Runtime y otros proyectos/productos derivados. En las versiones 28.2.0 a 28.3.2, al recargar el servicio firewalld, se eliminan todas las reglas de iptables, incluidas las creadas por Docker. Si bien Docker debería recrear estas reglas automáticamente, las versiones anteriores a la 28.3.3 no recrean las reglas específicas que bloquean el acceso externo a los contenedores. Esto significa que, tras recargar firewalld, los contenedores con puertos publicados en localhost (como 127.0.0.1:8080) se vuelven accesibles desde equipos remotos con enrutamiento de red al puente Docker, aunque solo deberían ser accesibles desde el propio host. La vulnerabilidad solo afecta a los puertos publicados explícitamente; los puertos no publicados permanecen protegidos. Este problema se solucionó en la versión 28.3.3.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/07/2025

Vulnerabilidad en Moby (CVE-2025-54410)
Fecha de publicación:
30/07/2025
Idioma:
Español
Moby es un framework de contenedores de código abierto desarrollado por Docker Inc. y distribuido como Docker Engine, Mirantis Container Runtime y otros proyectos/productos derivados. Una vulnerabilidad de firewalld afecta a las versiones de Moby anteriores a la 28.0.0. Al recargarse, Docker no puede recrear las reglas de iptables que aíslan las redes puente, lo que permite que cualquier contenedor acceda a todos los puertos de cualquier otro contenedor a través de diferentes redes puente en el mismo host. Esto rompe la segmentación de red entre contenedores que deberían estar aislados, lo que genera un riesgo significativo en entornos multiusuario. Solo los contenedores en redes internas permanecen protegidos. Las soluciones alternativas incluyen recargar firewalld y reiniciar el daemon de Docker, recrear las redes puente o usar el modo sin root. Los fabricantees prevén una solución para este problema en la versión 25.0.13.
Gravedad CVSS v3.1: BAJA
Última modificación:
31/07/2025

Vulnerabilidad en GLPI (CVE-2025-52567)
Fecha de publicación:
30/07/2025
Idioma:
Español
GLPI es un paquete gratuito de software de gestión de activos y TI, que permite la gestión de centros de datos, la mesa de ayuda ITIL, el seguimiento de licencias y la auditoría de software. En las versiones 0.84 a 10.0.18, el uso de fuentes RSS o calendarios externos durante la planificación está sujeto a vulnerabilidades SSRF. Los parches de seguridad anteriores, desde GLPI 10.0.4, no eran lo suficientemente robustos para ciertos casos específicos. Esto se ha corregido en la versión 10.0.19.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/08/2025
Suscribirse a Vulnerabilidades