Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Voltronic Power ViewPower y PowerShield Netguard (CVE-2022-43110)
Fecha de publicación:
22/08/2025
Idioma:
Español
Voltronic Power ViewPower (versión 1.04-21353) y PowerShield Netguard (versión anterior a 1.04-23292) permiten a un atacante remoto configurar el sistema mediante una interfaz web no especificada. Un atacante remoto no autenticado puede realizar cambios en el sistema, como cambiar la contraseña de administrador de la interfaz web, ver/modificar la configuración del sistema, enumerar y apagar los dispositivos UPS conectados. Esto incluye la posibilidad de configurar los comandos del sistema operativo que deben ejecutarse si el sistema detecta que un UPS conectado se apaga.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/08/2025

Vulnerabilidad en DooTask v1.0.51 (CVE-2025-55454)
Fecha de publicación:
22/08/2025
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitrarios autenticados en el componente /msg/sendfiles de DooTask v1.0.51 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2025

Vulnerabilidad en Centreon (CVE-2025-6791)
Fecha de publicación:
22/08/2025
Idioma:
Español
En la página de monitoreo de registros de eventos, es posible modificar la solicitud HTTP para insertar un payload en la base de datos. Esto se debe a una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en la web de Centreon (módulos de monitoreo de registros de eventos) que permite la inyección SQL. Este problema afecta a la web: desde la versión 24.10.0 hasta la 24.10.9, desde la versión 24.04.0 hasta la 24.04.16, desde la versión 23.10.0 hasta la 23.10.26.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/10/2025

Vulnerabilidad en Apache Log4cxx (CVE-2025-54813)
Fecha de publicación:
22/08/2025
Idioma:
Español
Vulnerabilidad de neutralización de salida incorrecta para registros en Apache Log4cxx. Al usar JSONLayout, no todos los bytes del payload se escapan correctamente. Si un mensaje proporcionado por un atacante contiene caracteres no imprimibles, estos se pasarán en el mensaje y se escribirán como parte del mensaje JSON. Esto puede impedir que las aplicaciones que consumen estos registros interpreten correctamente la información que contienen. Este problema afecta a Apache Log4cxx: versiones anteriores a la 1.5.0. Se recomienda actualizar a la versión 1.5.0, que soluciona el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Easy Hosting Control Panel 20.04.1.b (CVE-2025-50858)
Fecha de publicación:
22/08/2025
Idioma:
Español
La ejecución de cross-site scripting reflejado en la función Listar bases de datos MySQL en Easy Hosting Control Panel (EHCP) 20.04.1.b permite a atacantes autenticados ejecutar JavaScript arbitrario a través del parámetro de acción.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2025

Vulnerabilidad en Easy Hosting Control Panel 20.04.1.b (CVE-2025-50859)
Fecha de publicación:
22/08/2025
Idioma:
Español
La ejecución de cross-site scripting reflejado en la función Cambiar plantilla en Easy Hosting Control Panel (EHCP) 20.04.1.b permite a atacantes autenticados ejecutar JavaScript arbitrario a través del parámetro de plantilla.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2025

Vulnerabilidad en LogIn-SignUp de VishnuSivadasVS (CVE-2025-51092)
Fecha de publicación:
22/08/2025
Idioma:
Español
El proyecto LogIn-SignUp de VishnuSivadasVS es vulnerable a la inyección SQL debido a la construcción insegura de consultas SQL en DataBase.php. Las funciones logIn() y signUp() generan consultas concatenando directamente la entrada del usuario y los nombres de tabla no validados, sin usar sentencias preparadas. Si bien existe la función prepareData(), esta no es suficiente para prevenir la inyección SQL y no depura el nombre de la tabla.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2025

Vulnerabilidad en Apache Log4cxx (CVE-2025-54812)
Fecha de publicación:
22/08/2025
Idioma:
Español
Vulnerabilidad de neutralización de salida incorrecta para registros en Apache Log4cxx. Al usar HTMLLayout, los nombres de registradores no se escapan correctamente al escribir en el archivo HTML. Si se usan datos no confiables para recuperar el nombre de un registrador, un atacante podría, en teoría, inyectar HTML o Javascript para ocultar información de los registros o robar datos del usuario. Para activar esto, debe ocurrir la siguiente secuencia: * Log4cxx está configurado para usar HTMLLayout. * El nombre del registrador proviene de una cadena no confiable * El registrador con nombre comprometido registra un mensaje * El usuario abre el archivo de registro HTML generado en su navegador, lo que lleva a un posible XSS Debido a que los nombres de registradores generalmente son cadenas constantes, evaluamos el impacto para los usuarios como BAJO Este problema afecta a Apache Log4cxx: antes de 1.5.0. Se recomienda a los usuarios actualizar a la versión 1.5.0, que soluciona el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
04/11/2025

Vulnerabilidad en Centreon (CVE-2025-4650)
Fecha de publicación:
22/08/2025
Idioma:
Español
Un usuario con privilegios elevados puede introducir un SQLi mediante la página indicadora de Metaservicio. Esto se debe a una neutralización incorrecta de elementos especiales utilizados en un comando SQL. Este problema afecta a la web: desde la versión 24.10.0 hasta la 24.10.9, desde la versión 24.04.0 hasta la 24.04.16, desde la versión 23.10.0 hasta la 23.10.26.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/10/2025

Vulnerabilidad en Apache StreamPark (CVE-2024-48988)
Fecha de publicación:
22/08/2025
Idioma:
Español
Vulnerabilidad de inyección SQL en Apache StreamPark. Este problema afecta a Apache StreamPark desde la versión 2.1.4 hasta la 2.1.6. Se recomienda a los usuarios actualizar a la versión 2.1.6, que soluciona el problema. Esta vulnerabilidad solo está presente en el paquete de distribución (plataforma SpringBoot) y no afecta a los artefactos Maven. Solo se puede explotar después de que un usuario haya iniciado sesión correctamente en la plataforma (lo que implica que el atacante primero tendría que comprometer la autenticación de inicio de sesión). Por lo tanto, el riesgo asociado se considera relativamente bajo.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43762)
Fecha de publicación:
22/08/2025
Idioma:
Español
Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q1.0 a 2025.Q1.1, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.14 y 7.4 GA hasta la actualización 92 permiten a los usuarios cargar una cantidad ilimitada de archivos a través de los formularios, los archivos se almacenan en document_library lo que permite a un atacante provocar un posible DDoS.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/12/2025

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43758)
Fecha de publicación:
22/08/2025
Idioma:
Español
Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q1.0 a 2025.Q1.5, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.15 y 7.4 GA hasta la actualización 92 permiten a los usuarios no autenticados (invitados) acceder mediante archivos URL cargados por entrada de objeto y almacenados en document_library.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/12/2025
Suscribirse a Vulnerabilidades