Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en dpanel de donknap (CVE-2025-66292)
Fecha de publicación:
15/01/2026
Idioma:
Español
DPanel es un panel de gestión de servidor de código abierto escrito en Go. Anterior a 1.9.2, DPanel tiene una vulnerabilidad de eliminación arbitraria de archivos en la interfaz /api/common/attach/delete. Los usuarios autenticados pueden eliminar archivos arbitrarios en el servidor mediante salto de ruta. Cuando un usuario inicia sesión en el backend administrativo, esta interfaz puede usarse para eliminar archivos. La vulnerabilidad reside en la función Delete dentro del archivo app/common/http/controller/attach.go. El parámetro de ruta enviado por el usuario se pasa directamente a storage.Local{}.GetSaveRealPath y, posteriormente, a os.Remove sin una sanitización adecuada o sin verificar caracteres de salto de ruta (../). Y la función auxiliar en common/service/storage/local.go utiliza filepath.Join, que resuelve ../ pero no impone un chroot/jail. Esta vulnerabilidad está corregida en 1.9.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en glpi de glpi-project (CVE-2025-66417)
Fecha de publicación:
15/01/2026
Idioma:
Español
GLPI es un paquete de software gratuito de gestión de activos y TI. Desde 11.0.0, < 11.0.3, un usuario no autenticado puede realizar una inyección SQL a través del endpoint de inventario. Esta vulnerabilidad se corrige en 11.0.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en Live Access Server (LAS) de National Oceanic and Atmospheric Administration (NOAA) (CVE-2025-62193)
Fecha de publicación:
15/01/2026
Idioma:
Español
Los sitios que ejecutan NOAA PMEL Live Access Server (LAS) son vulnerables a ejecución remota de código a través de solicitudes especialmente diseñadas que incluyen expresiones PyFerret. Al aprovechar un comando SPAWN, un atacante remoto no autenticado puede ejecutar comandos OS arbitrarios. Corregido en una versión de 'gov.noaa.pmel.tmap.las.filter.RequestInputFilter.java' del 24-09-2025.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en driver Ludashi (CVE-2025-67246)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad de revelación de información local existe en el controlador Ludashi anterior a la versión 5.1025 debido a una falta de control de acceso en el controlador IOCTL. Este controlador expone una interfaz de dispositivo accesible para un usuario normal y maneja estructuras controladas por el atacante que contienen los 4 GB inferiores de direcciones físicas. El controlador mapea memoria física arbitraria a través de MmMapIoSpace y copia datos de vuelta al modo de usuario sin verificar los privilegios del llamador o el rango de direcciones objetivo. Esto permite a usuarios sin privilegios leer memoria física arbitraria, exponiendo potencialmente estructuras de datos del kernel, punteros del kernel, tokens de seguridad y otra información sensible. Esta vulnerabilidad puede ser explotada aún más para eludir las Reglas de Diseño del Espacio de Direcciones del Kernel (KASLR) y lograr una escalada de privilegios local.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/04/2026

Vulnerabilidad en glpi de glpi-project (CVE-2025-64516)
Fecha de publicación:
15/01/2026
Idioma:
Español
GLPI es un paquete de software gratuito de gestión de activos y TI. Antes de 10.0.21 y 11.0.3, un usuario no autorizado puede acceder a documentos de GLPI adjuntos a cualquier elemento (ticket, activo, ...). Si la FAQ pública está habilitada, este acceso no autorizado puede ser realizado por un usuario anónimo. Esta vulnerabilidad está corregida en 10.0.21 y 11.0.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en Omnispace Agora Project (CVE-2025-67076)
Fecha de publicación:
15/01/2026
Idioma:
Español
Vulnerabilidad de salto de directorio en Omnispace Agora Project anterior a 25.10 que permite a atacantes no autenticados leer archivos en el sistema a través del controlador misc y la acción ExternalGetFile. Solo se pueden leer archivos con una extensión.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en Omnispace Agora Project (CVE-2025-67077)
Fecha de publicación:
15/01/2026
Idioma:
Español
Vulnerabilidad de carga de archivos en Omnispace Agora Project anterior a 25.10 permitiendo a usuarios autenticados, o bajo ciertas condiciones también a usuarios invitados, a través de la acción UploadTmpFile.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en Omnispace Agora Project (CVE-2025-67078)
Fecha de publicación:
15/01/2026
Idioma:
Español
Vulnerabilidad de cross site scripting (XSS) en Omnispace Agora Project anterior a 25.10 que permite a los atacantes ejecutar código arbitrario a través del parámetro notify del controlador de archivos utilizado para mostrar errores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/03/2026

Vulnerabilidad en Omnispace Agora Project (CVE-2025-67079)
Fecha de publicación:
15/01/2026
Idioma:
Español
Vulnerabilidad de carga de archivos en Omnispace Agora Project anterior a 25.10 permitiendo a los atacantes ejecutar código a través del motor MSL de la biblioteca Imagick mediante un archivo PDF manipulado a las funciones de carga de archivos y miniaturas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2026

Vulnerabilidad en Epic Games Store (CVE-2025-61973)
Fecha de publicación:
15/01/2026
Idioma:
Español
Una vulnerabilidad de escalada de privilegios local existe durante la instalación de Epic Games Store a través de la Microsoft Store. Un usuario con pocos privilegios puede reemplazar un archivo DLL durante el proceso de instalación, lo que puede resultar en una elevación de privilegios no intencionada.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Tagstoo (CVE-2021-47843)
Fecha de publicación:
15/01/2026
Idioma:
Español
Tagstoo 2.0.1 contiene una vulnerabilidad de cross-site scripting almacenado que permite a los atacantes inyectar cargas útiles maliciosas a través de archivos o etiquetas personalizadas. Los atacantes pueden ejecutar código JavaScript arbitrario para generar procesos del sistema, acceder a archivos y realizar ejecución remota de código en el equipo de la víctima.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en Cyberfox Web Browser (CVE-2021-47784)
Fecha de publicación:
15/01/2026
Idioma:
Español
Cyberfox Navegador Web 52.9.1 contiene una vulnerabilidad de denegación de servicio que permite a los atacantes colapsar la aplicación desbordando la barra de búsqueda con datos excesivos. Los atacantes pueden generar una carga útil de 9.000.000 bytes y pegarla en la barra de búsqueda para provocar el colapso de la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades