Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Archer Platform (CVE-2025-27893)

Fecha de publicación:
11/03/2025
Idioma:
Español
En Archer Platform 6 a 6.14.00202.10024, un usuario autenticado con privilegios de creación de registros puede manipular campos inmutables, como la fecha de creación, interceptando y modificando una solicitud de copia a través de un URI GenericContent/Record.aspx?id=. Esto permite la modificación no autorizada de metadatos generados por el sistema, lo que compromete la integridad de los datos y potencialmente afecta los controles de auditoría, cumplimiento y seguridad.
Gravedad CVSS v3.1: BAJA
Última modificación:
23/06/2025

Vulnerabilidad en Keras Model.load_model (CVE-2025-1550)

Fecha de publicación:
11/03/2025
Idioma:
Español
La función Keras Model.load_model permite la ejecución de código arbitrario, incluso con safe_mode=True, a través de un archivo .keras malicioso creado manualmente. Al alterar el archivo config.json dentro del archivo, un atacante puede especificar módulos y funciones Python arbitrarios, junto con sus argumentos, para que se carguen y ejecuten durante la carga del modelo.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/07/2025

Vulnerabilidad en Node.js (CVE-2024-28607)

Fecha de publicación:
11/03/2025
Idioma:
Español
El paquete ip-utils hasta la versión 2.4.0 para Node.js podría permitir SSRF porque algunas direcciones IP (como 0x7f.1) están categorizadas incorrectamente como enrutables globalmente a través de un valor de retorno isPrivate falso.
Gravedad CVSS v3.1: BAJA
Última modificación:
11/03/2025

Vulnerabilidad en libzvbi (CVE-2025-2176)

Fecha de publicación:
11/03/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en libzvbi hasta la versión 0.2.43. Afecta a la función vbi_capture_sim_load_caption del archivo src/io-sim.c. La manipulación provoca un desbordamiento de enteros. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. La actualización a la versión 0.2.44 puede solucionar este problema. El identificador del parche es ca1672134b3e2962cd392212c73f44f8f4cb489f. Se recomienda actualizar el componente afectado. La responsable del código fue informada de antemano sobre los problemas. Reaccionó muy rápido y con gran profesionalidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2025

Vulnerabilidad en libzvbi (CVE-2025-2177)

Fecha de publicación:
11/03/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en libzvbi hasta la versión 0.2.43. Esta vulnerabilidad afecta a la función vbi_search_new del archivo src/search.c. La manipulación del argumento pat_len provoca un desbordamiento de enteros. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse. La actualización a la versión 0.2.44 puede solucionar este problema. El parche se identifica como ca1672134b3e2962cd392212c73f44f8f4cb489f. Se recomienda actualizar el componente afectado. La responsable del código fue informada de antemano sobre los problemas. Reaccionó muy rápido y con gran profesionalidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2025

Vulnerabilidad en Spreadsheet view (CVE-2025-1434)

Fecha de publicación:
11/03/2025
Idioma:
Español
Spreadsheet view es vulnerable a un ataque XSS, en el que un atacante remoto no autorizado puede leer una cantidad limitada de valores o realizar un ataque de denegación de servicio (DoS) a la hoja de cálculo afectada. La divulgación de secretos u otras configuraciones del sistema no se ve afectada y las demás hojas de cálculo siguen funcionando como se espera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2025

Vulnerabilidad en Datalust Seq (CVE-2025-27911)

Fecha de publicación:
11/03/2025
Idioma:
Español
Se descubrió un problema en Datalust Seq antes de 2024.3.13545. La expansión de identificadores en las plantillas de mensajes se puede utilizar para omitir la configuración del sistema "Límite de bytes del cuerpo del evento", lo que genera un mayor consumo de recursos. Con eventos lo suficientemente grandes, puede producirse un agotamiento del espacio en disco (si se guarda en el disco) o una finalización del proceso del servidor con un error de falta de memoria.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2025

Vulnerabilidad en Datalust Seq (CVE-2025-27912)

Fecha de publicación:
11/03/2025
Idioma:
Español
Se descubrió un problema en Datalust Seq antes de 2024.3.13545. La falta de validación de tipo de contenido puede generar CSRF cuando (1) se utiliza la autenticación de Entra ID o OpenID Connect y un usuario visita un sitio comprometido o malicioso, o (2) cuando se utiliza la autenticación de nombre de usuario/contraseña o Active Directory y un usuario visita un sitio comprometido o malicioso bajo el mismo dominio de nivel superior efectivo que el servidor Seq. La explotación de la vulnerabilidad permite al atacante realizar ataques de suplantación de identidad y realizar acciones en Seq en nombre del usuario objetivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2025

Vulnerabilidad en Datalust Seq (CVE-2024-58102)

Fecha de publicación:
11/03/2025
Idioma:
Español
Se descubrió un problema en Datalust Seq antes de 2024.3.13545. Un límite de profundidad de análisis predeterminado inseguro permite el consumo de la pila al analizar consultas proporcionadas por el usuario que contienen expresiones profundamente anidadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2025

Vulnerabilidad en libzvbi (CVE-2025-2175)

Fecha de publicación:
11/03/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad en libzvbi hasta la versión 0.2.43. Se ha calificado como problemática. La función _vbi_strndup_iconv está afectada por este problema. La manipulación provoca un desbordamiento de enteros. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse. La actualización a la versión 0.2.44 puede solucionar este problema. Se recomienda actualizar el componente afectado. La responsable del código fue informada de antemano sobre los problemas. Reaccionó muy rápido y con gran profesionalidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2025

Vulnerabilidad en com.transsnet.store (CVE-2025-2190)

Fecha de publicación:
11/03/2025
Idioma:
Español
La aplicación móvil (com.transsnet.store) tiene una vulnerabilidad de ataque man-in-the-middle, que puede generar riesgos de inyección de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/06/2025

Vulnerabilidad en libzvbi (CVE-2025-2173)

Fecha de publicación:
11/03/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad en libzvbi hasta la versión 0.2.43. Se ha clasificado como problemática. La función vbi_strndup_iconv_ucs2 del archivo src/conv.c está afectada. La manipulación del argumento src_length da lugar a un puntero no inicializado. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. La actualización a la versión 0.2.44 puede solucionar este problema. El parche se identifica como 8def647eea27f7fd7ad33ff79c2d6d3e39948dce. Se recomienda actualizar el componente afectado. La responsable del código fue informada de antemano sobre los problemas. Reaccionó muy rápido y con gran profesionalidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/03/2025