Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en RSTickets! para Joomla (CVE-2025-32465)

Fecha de publicación:
11/06/2025
Idioma:
Español
Se descubrió una vulnerabilidad de XSS almacenado en el componente RSTickets! 1.9.12-3.3.0 para Joomla. Esta vulnerabilidad permite a los atacantes realizar ataques de cross-site scripting (XSS) mediante el envío de un payload manipulado.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en RSMediaGallery! para Joomla (CVE-2025-32466)

Fecha de publicación:
11/06/2025
Idioma:
Español
Se descubrió una vulnerabilidad de inyección SQL en el componente RSMediaGallery! 1.7.4 - 2.1.7 para Joomla. El problema ocurre en el componente del panel de control, donde la información proporcionada por el usuario no se depura correctamente antes de almacenarse y renderizarse. Un atacante puede inyectar código JavaScript malicioso en campos de texto u otros puntos de entrada, que posteriormente se ejecuta en el navegador de cualquier usuario que haga clic en el texto manipulado en el panel de control.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en RSForm!pro para Joomla (CVE-2025-30085)

Fecha de publicación:
11/06/2025
Idioma:
Español
Se descubrió una vulnerabilidad de ejecución remota de código en el componente RSForm!pro 3.0.0 - 3.3.14 para Joomla. El problema se produce en la función de exportación de envíos y requiere acceso administrativo a dicha función.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/06/2025

Vulnerabilidad en Cursor (CVE-2025-49150)

Fecha de publicación:
11/06/2025
Idioma:
Español
Cursor es un editor de código diseñado para programar con IA. Antes de la versión 0.51.0, la configuración predeterminada de json.schemaDownload.enable era "True". Esto significa que, al escribir un archivo JSON, un atacante puede activar una solicitud HTTP GET arbitraria que no requiere confirmación del usuario. Dado que Cursor Agent puede editar archivos JSON, un agente malicioso, por ejemplo, tras un ataque de inyección de prompt exitoso, podría activar una solicitud GET a una URL controlada por el atacante, lo que podría exfiltrar otros datos a los que el agente podría tener acceso. Esta vulnerabilidad se corrigió en la versión 0.51.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en IBM Cognos Analytics (CVE-2025-25032)

Fecha de publicación:
11/06/2025
Idioma:
Español
IBM Cognos Analytics 11.2.0, 11.2.1, 11.2.2, 11.2.3, 11.2.4, 12.0.0, 12.0.1, 12.0.2, 12.0.3 y 12.0.4 podrían permitir que un usuario autenticado provoque una denegación de servicio al enviar una solicitud especialmente manipulada que agotaría los recursos de memoria.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en CryptX para Perl (CVE-2025-40912)

Fecha de publicación:
11/06/2025
Idioma:
Español
CryptX para Perl anterior a la versión 0.065 contiene una dependencia susceptible a errores en Unicode. CryptX integra la librería tomcrypt. Las versiones de dicha librería en CryptX anteriores a la 0.065 podrían ser susceptibles a CVE-2019-17362.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/06/2025

Vulnerabilidad en Go Project (CVE-2025-0913)

Fecha de publicación:
11/06/2025
Idioma:
Español
os.OpenFile(path, os.O_CREATE|O_EXCL) se comportaba de forma diferente en sistemas Unix y Windows cuando la ruta de destino era un enlace simbólico pendiente. En sistemas Unix, OpenFile con los indicadores O_CREATE y O_EXCL nunca sigue enlaces simbólicos. En Windows, cuando la ruta de destino era un enlace simbólico a una ubicación inexistente, OpenFile creaba un archivo en esa ubicación. OpenFile ahora siempre devuelve un error cuando los indicadores O_CREATE y O_EXCL están activados y la ruta de destino es un enlace simbólico.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en IBM Cognos Analytics (CVE-2025-0917)

Fecha de publicación:
11/06/2025
Idioma:
Español
IBM Cognos Analytics 11.2.0, 11.2.1, 11.2.2, 11.2.3, 11.2.4, 12.0.0, 12.0.1, 12.0.2, 12.0.3 y 12.0.4 es vulnerable a cross-site scripting almacenado. Esta vulnerabilidad permite a un usuario con privilegios incrustar código JavaScript arbitrario en la interfaz web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales en una sesión de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en IBM Cognos Analytics (CVE-2025-0923)

Fecha de publicación:
11/06/2025
Idioma:
Español
IBM Cognos Analytics 11.2.0, 11.2.1, 11.2.2, 11.2.3, 11.2.4, 12.0.0, 12.0.1, 12.0.2, 12.0.3 y 12.0.4 almacenan código fuente en el servidor web que podría contribuir a futuros ataques contra el sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en VirtueMart (CVE-2025-6001)

Fecha de publicación:
11/06/2025
Idioma:
Español
Existe una vulnerabilidad de Cross-Site Request Forgery (CSRF) en la función de carga de imágenes de productos de VirtueMart que omite el token de protección CSRF. Un atacante puede manipular una solicitud CSRF especial que permite la carga sin restricciones de archivos en el administrador de medios de VirtueMart.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en VirtueMart (CVE-2025-6002)

Fecha de publicación:
11/06/2025
Idioma:
Español
Existe una vulnerabilidad de carga de archivos sin restricciones en la sección Imagen de Producto del backend de VirtueMart. Los atacantes autenticados pueden cargar archivos con extensiones arbitrarias, incluyendo archivos ejecutables o maliciosos, lo que podría provocar la ejecución remota de código u otros problemas de seguridad según la configuración del servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en Go Project (CVE-2025-22874)

Fecha de publicación:
11/06/2025
Idioma:
Español
Al llamar a Verify con un VerifyOptions.KeyUsages que contiene ExtKeyUsageAny, se deshabilitó involuntariamente la validación de políticas. Esto solo afectó a las cadenas de certificados que contienen gráficos de políticas, lo cual es poco común.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025