Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ThimPress WP Pipes (CVE-2025-28979)
Fecha de publicación:
14/08/2025
Idioma:
Español
Vulnerabilidad de control inadecuado del nombre de archivo para la declaración Include/Require en un programa PHP ('Inclusión remota de archivos PHP') en ThimPress WP Pipes permite la inclusión local de archivos PHP. Este problema afecta a WP Pipes desde n/d hasta la versión 1.4.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/08/2025

Vulnerabilidad en PressForward PressForward (CVE-2025-28987)
Fecha de publicación:
14/08/2025
Idioma:
Español
Vulnerabilidad de Server-Side Request Forgery (SSRF) en PressForward PressForward permite Server-Side Request Forgery. Este problema afecta a PressForward desde la versión n/d hasta la 5.9.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/08/2025

Vulnerabilidad en ZoomIt WooCommerce Shop Page Builder (CVE-2025-28999)
Fecha de publicación:
14/08/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en ZoomIt WooCommerce Shop Page Builder permite XSS reflejado. Este problema afecta a WooCommerce Shop Page Builder desde n/d hasta la versión 2.27.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/08/2025

Vulnerabilidad en Made I.T. Forms (CVE-2025-24775)
Fecha de publicación:
14/08/2025
Idioma:
Español
La vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos en Made I.T. Forms permite cargar un shell web a un servidor web. Este problema afecta a Forms desde n/d hasta la versión 2.9.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/08/2025

Vulnerabilidad en beeteam368 VidMov (CVE-2025-25172)
Fecha de publicación:
14/08/2025
Idioma:
Español
Vulnerabilidad de control incorrecto del nombre de archivo para la instrucción Include/Require en programas PHP ('Inclusión remota de archivos PHP') en beeteam368 VidMov permite la inclusión local de archivos PHP. Este problema afecta a VidMov desde n/d hasta la versión 1.9.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/08/2025

Vulnerabilidad en WP Royal Themes News Magazine X (CVE-2025-24766)
Fecha de publicación:
14/08/2025
Idioma:
Español
Vulnerabilidad de control inadecuado del nombre de archivo para la declaración Include/Require en un programa PHP ('PHP Remote File Inclusion') en WP Royal Themes News Magazine X permite la inclusión local de archivos en PHP. Este problema afecta a News Magazine X desde n/d hasta la versión 1.2.37.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/08/2025

Vulnerabilidad en D-Link DIR?818L (CVE-2025-8956)
Fecha de publicación:
14/08/2025
Idioma:
Español
Se encontró una vulnerabilidad en D-Link DIR?818L hasta la versión 1.05B01. Este problema afecta a la función getenv del archivo /htdocs/cgibin del componente ssdpcgi. La manipulación provoca la inyección de comandos. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/08/2025

Vulnerabilidad en MCP (CVE-2025-8943)
Fecha de publicación:
14/08/2025
Idioma:
Español
La función MCP personalizados está diseñada para ejecutar comandos del sistema operativo, por ejemplo, mediante herramientas como `npx` para activar servidores MCP locales. Sin embargo, el modelo de autenticación y autorización inherente de Flowise es mínimo y carece de controles de acceso basados en roles (RBAC). Además, en versiones de Flowise anteriores a la 3.0.1, la instalación predeterminada funciona sin autenticación a menos que se configure explícitamente. Esta combinación permite a atacantes de red no autenticados ejecutar comandos del sistema operativo sin protección de seguridad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/09/2025

Vulnerabilidad en Lepszy BIP (CVE-2025-7761)
Fecha de publicación:
14/08/2025
Idioma:
Español
Lepszy BIP es vulnerable a ataques de Cross-Site Scripting (XSS) reflejado. La validación incorrecta de la entrada en el formato index.php en uno de los parámetros permite la ejecución de JavaScript arbitrario en el navegador de la víctima al abrir una URL especialmente manipulada. Se contactó al proveedor con antelación para informarle sobre esta revelación, pero no respondió. Potencialmente, todas las versiones son vulnerables.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/08/2025

Vulnerabilidad en disable-right-click-powered-by-pixterme y pixter-image-digital-license de WordPress (CVE-2025-8047)
Fecha de publicación:
14/08/2025
Idioma:
Español
Los complementos disable-right-click-powered-by-pixterme hasta v1.2 y pixter-image-digital-license hasta v1.0 de WordPress cargan un archivo JavaScript comprometido desde un bucket S3 aparentemente abandonado. Quienes lo controlan pueden usarlo como puerta trasera, pero actualmente muestra una alerta que anuncia servicios de seguridad. Los usuarios que pagan se añaden a "permitido" para suprimir la ventana emergente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/08/2025

Vulnerabilidad en PHPGurukul Hospital Management System 4.0 (CVE-2025-8955)
Fecha de publicación:
14/08/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad en PHPGurukul Hospital Management System 4.0. Esta vulnerabilidad afecta al código desconocido del archivo /admin/edit-doctor.php. La manipulación del argumento docfees provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/08/2025

Vulnerabilidad en JFrog (CVE-2025-55346)
Fecha de publicación:
14/08/2025
Idioma:
Español
Los flujos de entrada controlados por el usuario conducen a una implementación insegura de un constructor de función dinámico, lo que permite a los atacantes de la red ejecutar código JS arbitrario no protegido en el contexto del host, enviando una simple solicitud POST.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/08/2025
Suscribirse a Vulnerabilidades