Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Xpro Xpro Theme Builder (CVE-2025-58198)
Fecha de publicación:
27/08/2025
Idioma:
Español
La vulnerabilidad de falta de autorización en Xpro Xpro Theme Builder permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Xpro Theme Builder desde n/d hasta la versión 1.2.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en AfterShip y Automizely AfterShip Tracking (CVE-2025-58201)
Fecha de publicación:
27/08/2025
Idioma:
Español
La vulnerabilidad de falta de autorización en AfterShip y Automizely AfterShip Tracking permite acceder a funcionalidades no restringidas correctamente por las ACL. Este problema afecta a AfterShip Tracking desde n/d hasta la versión 1.17.17.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en simple-admin-core (CVE-2025-51667)
Fecha de publicación:
27/08/2025
Idioma:
Español
Se detectó un problema en simple-admin-core v1.2.0 a v1.6.7. La interfaz /sys-api/role/update del sistema simple-admin-core presenta una vulnerabilidad limitada de inyección SQL, que puede provocar una fuga parcial de datos o la interrupción del funcionamiento normal del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/09/2025

Vulnerabilidad en FoxCMS 1.2.6 (CVE-2025-55422)
Fecha de publicación:
27/08/2025
Idioma:
Español
En FoxCMS 1.2.6, hay una vulnerabilidad de Cross Site Scripting (XSS) reflejado en /index.php/plus.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/09/2025

Vulnerabilidad en Uncanny Owl Uncanny Automator (CVE-2025-58193)
Fecha de publicación:
27/08/2025
Idioma:
Español
La vulnerabilidad de falta de autorización en Uncanny Owl Uncanny Automator permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Uncanny Automator desde la versión n/d hasta la 6.7.0.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en Bboldthemes Bold Pag (CVE-2025-58194)
Fecha de publicación:
27/08/2025
Idioma:
Español
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') en Bboldthemes Bold Pag permite XSS almacenado. Este problema afecta a Bold Page Builder desde n/d hasta la versión 5.4.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en Xylus Themes WP Bulk Delete (CVE-2025-58192)
Fecha de publicación:
27/08/2025
Idioma:
Español
La vulnerabilidad de falta de autorización en Xylus Themes WP Bulk Delete permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a WP Bulk Delete desde la versión n/d hasta la 1.3.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en NodeBB v4.3.0 (CVE-2025-50979)
Fecha de publicación:
27/08/2025
Idioma:
Español
NodeBB v4.3.0 es vulnerable a la inyección de SQL en su punto final de la API de categorías de búsqueda (/api/v3/search/categories). El parámetro de consulta de búsqueda no está correctamente depurado, lo que permite a atacantes remotos no autenticados inyectar payloads ciegos basadas en booleanos y basadas en errores de PostgreSQL.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/09/2025

Vulnerabilidad en Kubernetes (CVE-2025-5187)
Fecha de publicación:
27/08/2025
Idioma:
Español
Existe una vulnerabilidad en el controlador de admisión NodeRestriction de los clústeres de Kubernetes, donde los usuarios de los nodos pueden eliminar su objeto de nodo correspondiente al aplicar una referencia de propietario a un recurso del clúster. Si el recurso OwnerReference no existe o se elimina posteriormente, el objeto de nodo en cuestión se eliminará mediante la recolección de elementos no utilizados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en Basecamp's Google Sign-In adds Google sign-in to Rails applications (CVE-2025-57821)
Fecha de publicación:
27/08/2025
Idioma:
Español
El inicio de sesión de Google de Basecamp incorpora el inicio de sesión de Google a las aplicaciones Rails. Antes de la versión 1.3.0, era posible manipular una URL mal formada que superara la comprobación de "mismo origen", lo que provocaba que el usuario fuera redirigido a otro origen. Las aplicaciones Rails configuradas para almacenar la información flash en una cookie de sesión pueden ser vulnerables si esto se combina con un ataque que permita la inyección de datos arbitrarios en la cookie de sesión. Este problema se ha corregido en la versión 1.3.0. Si la actualización no es posible en este momento, se puede mitigar el ataque encadenado configurando explícitamente SameSite=Lax o SameSite=Strict en la cookie de sesión de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en RaspAP raspap-webgui (CVE-2025-50428)
Fecha de publicación:
27/08/2025
Idioma:
Español
En RaspAP raspap-webgui 3.3.2 y versiones anteriores, existe una vulnerabilidad de inyección de comandos en el script "includes/hostapd.php". Esta vulnerabilidad se debe a una depuración incorrecta de la entrada del usuario enviada a través del parámetro de interfaz.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/09/2025

Vulnerabilidad en Angular (CVE-2025-50977)
Fecha de publicación:
27/08/2025
Idioma:
Español
Se ha identificado una vulnerabilidad de inyección de plantillas que provoca Cross Site Scripting (XSS) reflejado en la versión 1.7.1, que requiere acceso de administrador autenticado para su explotación. La vulnerabilidad se encuentra en el parámetro 'r' y permite a los atacantes inyectar expresiones maliciosas de Angular que ejecutan código JavaScript en el contexto de la aplicación. La falla puede explotarse mediante solicitudes GET al endpoint de resumen, así como mediante solicitudes POST a endpoints específicos de la interfaz Wicket, aunque el método GET facilita su uso como arma. Esta vulnerabilidad permite a los administradores autenticados ejecutar código arbitrario del lado del cliente, lo que podría provocar secuestro de sesiones, robo de datos o nuevos ataques de escalada de privilegios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/09/2025
Suscribirse a Vulnerabilidades