Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Advanced Micro Devices Inc. (CVE-2023-20599)
Fecha de publicación:
10/06/2025
Idioma:
Español
Un control de acceso inadecuado a los registros en ASP puede permitir que un atacante privilegiado realice un acceso no autorizado a los registros del coprocesador criptográfico (CCP) de ASP desde x86, lo que genera una posible pérdida de control del índice/puntero de la clave criptográfica y, por consiguiente, una pérdida de integridad o confidencialidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en Nautobot (CVE-2025-49143)
Fecha de publicación:
10/06/2025
Idioma:
Español
Nautobot es una fuente de confianza en red y una plataforma de automatización de red. En versiones anteriores a las versiones 2.4.10 y 1.6.32, los archivos subidos por los usuarios al directorio MEDIA_ROOT de Nautobot, incluyendo imágenes adjuntas de tipo de dispositivo, así como imágenes adjuntas a una ubicación, dispositivo o rack, se entregaban a los usuarios mediante un endpoint de URL que no aplicaba la autenticación de usuario. Como consecuencia, estos archivos podían ser recuperados por usuarios anónimos que conocían o podían adivinar la URL correcta de un archivo determinado. Nautobot v2.4.10 y v1.6.32 solucionan este problema añadiendo la aplicación de la autenticación de usuario de Nautobot a este endpoint.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/08/2025

Vulnerabilidad en Nautobot (CVE-2025-49142)
Fecha de publicación:
10/06/2025
Idioma:
Español
Nautobot es una fuente de confianza en red y una plataforma de automatización de red. Todos los usuarios de versiones de Nautobot anteriores a la 2.4.10 o a la 1.6.32 podrían verse afectados. Debido a una configuración de seguridad insuficiente de la función de plantillas Jinja2, utilizada en campos calculados, enlaces personalizados, etc., en Nautobot, un usuario malintencionado podría configurar este conjunto de funciones de forma que exponga el valor de los secretos definidos en Nautobot al renderizar el contenido de la plantilla, o que invoque las API de Python para modificar datos dentro de Nautobot al renderizar dicho contenido, omitiendo así los permisos de objeto asignados al usuario que lo visualiza. Las versiones 1.6.32 y 2.4.10 de Nautobot incluirán correcciones para esta vulnerabilidad. Esta vulnerabilidad se puede mitigar parcialmente configurando adecuadamente los permisos de objeto para limitar ciertas acciones solo a usuarios de confianza.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/08/2025

Vulnerabilidad en Pandora ITSM (CVE-2025-4653)
Fecha de publicación:
10/06/2025
Idioma:
Español
La neutralización incorrecta de elementos especiales en el campo de nombre de la copia de seguridad puede permitir la inyección de comandos del sistema operativo. Este problema afecta a Pandora ITSM 5.0.105.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en Pandora ITSM (CVE-2025-4678)
Fecha de publicación:
10/06/2025
Idioma:
Español
La neutralización incorrecta de elementos especiales en la variable chromium_path puede permitir la inyección de comandos del sistema operativo. Este problema afecta a Pandora ITSM 5.0.105.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en IDENTIFICADOR NO VÁLIDO (CVE-2025-4801)
Fecha de publicación:
10/06/2025
Idioma:
Español
Razón rechazado: ** Rechazo ** No use este número de candidato. Razón: este candidato fue emitido por error. Notas: Todas las referencias y descripciones en este candidato se han eliminado para evitar el uso accidental.
Gravedad: Pendiente de análisis
Última modificación:
10/06/2025

Vulnerabilidad en Adobe Commerce (CVE-2025-47110)
Fecha de publicación:
10/06/2025
Idioma:
Español
Las versiones 2.4.8, 2.4.7-p5, 2.4.6-p10, 2.4.5-p12, 2.4.4-p13 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de cross site scripting (XSS) almacenado que un atacante con privilegios elevados podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Es posible que se ejecute JavaScript malicioso en el navegador de la víctima al acceder a la página que contiene el campo vulnerable.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en OctoPrint (CVE-2025-48879)
Fecha de publicación:
10/06/2025
Idioma:
Español
Las versiones de OctoPrint hasta la 1.11.1 inclusive contienen una vulnerabilidad que permite a cualquier atacante no autenticado enviar una solicitud multipart/form-data manipulada y rota a OctoPrint, provocando así que el componente del servidor web deje de responder. El problema puede desencadenarse por una solicitud multipart/form-data rota que no tenga un límite final en ninguno de los endpoints de OctoPrint implementados mediante el controlador de solicitudes octoprint.server.util.tornado.UploadStorageFallbackHandler. El controlador de solicitudes se atascará en un bucle de actividad interminable, buscando una parte de la solicitud que nunca llegará. Dado que Tornado es de un solo subproceso, esto bloqueará efectivamente todo el servidor web. La vulnerabilidad se ha corregido en la versión 1.11.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2025

Vulnerabilidad en OctoPrint (CVE-2025-48067)
Fecha de publicación:
10/06/2025
Idioma:
Español
OctoPrint proporciona una interfaz web para controlar impresoras 3D de consumo. Las versiones de OctoPrint hasta la 1.11.1 (incluida) contienen una vulnerabilidad que permite a un atacante con el permiso FILE_UPLOAD extraer archivos del host al que OctoPrint tiene acceso de lectura, trasladándolos a la carpeta de carga, desde donde se pueden descargar. Esta vulnerabilidad se corrigió en la versión 1.11.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2025

Vulnerabilidad en matrix-rust-sdk (CVE-2025-48937)
Fecha de publicación:
10/06/2025
Idioma:
Español
matrix-rust-sdk es una implementación de una librería cliente-servidor Matrix en Rust. matrix-sdk-crypto, desde la versión 0.8.0 hasta la 0.11.0, no valida correctamente el remitente de un evento cifrado. Por lo tanto, un operador malicioso del servidor principal puede modificar los eventos enviados a los clientes, haciendo que el destinatario los vea como si los hubiera enviado otro usuario. Esta vulnerabilidad se ha corregido en las versiones 0.11.1 y 0.12.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en Keyoti SearchUnit (CVE-2025-44044)
Fecha de publicación:
10/06/2025
Idioma:
Español
Keyoti SearchUnit anterior a la versión 9.0.0 es vulnerable a XML External Entity (XXE). Un atacante que fuerce a un host SearchUnit vulnerable a analizar archivos XML o DTD malintencionados puede exfiltrar algunos archivos del sistema operativo subyacente.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en Keyoti SearchUnit (CVE-2025-44043)
Fecha de publicación:
10/06/2025
Idioma:
Español
Keyoti SearchUnit anterior a la versión 9.0.0 es vulnerable a Server-side request forgery (SSRF) en /Keyoti_SearchEngine_Web_Common/SearchService.svc/GetResults y /Keyoti_SearchEngine_Web_Common/SearchService.svc/GetLocationAndContentCategories. Un atacante puede especificar su propio servidor SMB como valor de indexDirectory al realizar solicitudes POST a los componentes afectados. De esta forma, puede lograr que el servidor SearchUnit lea y escriba archivos de configuración y registro desde/hacia el servidor del atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2025
Suscribirse a Vulnerabilidades