Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43746)
Fecha de publicación:
20/08/2025
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) reflejado en Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q2.0 a 2025.Q2.2, 2025.Q1.0 a 2025.Q1.10, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.0 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.18 y 7.4 GA hasta la actualización 92 permite a un atacante autenticado remoto inyectar código JavaScript a través de _com_liferay_dynamic_data_mapping_web_portlet_DDMPortlet_portletNamespace y Parámetro _com_liferay_dynamic_data_mapping_web_portlet_DDMPortlet_namespace.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/12/2025

Vulnerabilidad en elunez eladmin (CVE-2025-9239)
Fecha de publicación:
20/08/2025
Idioma:
Español
Se identificó una vulnerabilidad en elunez eladmin hasta la versión 2.7. Esta vulnerabilidad afecta la función EncryptUtils del archivo eladmin-common/src/main/java/me/zhengjie/utils/EncryptUtils.java del componente DES Key Handler. La manipulación del argumento STR_PARAM con la entrada Passw0rd produce una seguridad de cifrado insuficiente. El ataque puede ejecutarse en remoto. Es un ataque de complejidad bastante alta. Parece difícil de explotar.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/10/2025

Vulnerabilidad en Portabilis i-Diario (CVE-2025-9236)
Fecha de publicación:
20/08/2025
Idioma:
Español
Se ha detectado una vulnerabilidad en Portabilis i-Diario (hasta la versión 2.10). Esta afecta a una función desconocida del archivo /intranet/educar_tipo_usuario_lst.php del componente Tipos de usàrio Page. Esta manipulación del argumento nm_tipo provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/09/2025

Vulnerabilidad en CodeAstro Ecommerce Website 1.0 (CVE-2025-9237)
Fecha de publicación:
20/08/2025
Idioma:
Español
Se encontró una vulnerabilidad en CodeAstro Ecommerce Website 1.0. Esta afecta a una función desconocida del archivo /customer/my_account.php?edit_account del componente Edit Your Account Page. La manipulación del argumento "Username" provoca ataques de cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/08/2025

Vulnerabilidad en Swatadru Exam-Seating-Arrangement (CVE-2025-9238)
Fecha de publicación:
20/08/2025
Idioma:
Español
Se detectó una vulnerabilidad en Swatadru Exam-Seating-Arrangement hasta 97335ccebf95468d92525f4255a2241d2b0b002f. Se ve afectada una función desconocida del archivo /student.php del componente Student Login. La manipulación del argumento "email" puede provocar una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza el enfoque de lanzamiento continuo para garantizar una entrega continua. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de las actualizaciones. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/08/2025

Vulnerabilidad en Directus (CVE-2025-55746)
Fecha de publicación:
20/08/2025
Idioma:
Español
Directus es una API en tiempo real y un panel de control para aplicaciones que gestiona el contenido de bases de datos SQL. Desde la versión 10.8.0 hasta la versión 11.9.3, existe una vulnerabilidad en el mecanismo de actualización de archivos que permite a un usuario no autenticado modificar archivos existentes con contenido arbitrario (sin que se apliquen cambios a los metadatos residentes en la base de datos) o cargar nuevos archivos con contenido y extensiones arbitrarios, que no se mostrarán en la interfaz de Directus. Esta vulnerabilidad se corrigió en la versión 11.9.3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/01/2026

Vulnerabilidad en Adobe Experience Manager (CVE-2025-47054)
Fecha de publicación:
20/08/2025
Idioma:
Español
Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross-site scripting (XSS) basada en DOM. Un atacante con pocos privilegios podría explotar este problema manipulando el entorno DOM para ejecutar JavaScript malicioso en el contexto del navegador de la víctima. Para explotar este problema, es necesario que la víctima visite una página web especialmente manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/08/2025

Vulnerabilidad en my-site v1.0.2.RELEASE (CVE-2024-53495)
Fecha de publicación:
20/08/2025
Idioma:
Español
El control de acceso incorrecto en la función preHandle de my-site v1.0.2.RELEASE permite a los atacantes acceder a componentes sensibles sin autenticación.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/09/2025

Vulnerabilidad en Scada-LTS (CVE-2025-9235)
Fecha de publicación:
20/08/2025
Idioma:
Español
Se ha detectado una falla en Scada-LTS hasta la versión 2.7.8.1. El elemento afectado es una función desconocida del archivo Compound_events.shtm. Esta manipulación del argumento Name provoca ataques de cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/09/2025

Vulnerabilidad en AOMEI Cyber Backup (CVE-2025-8610)
Fecha de publicación:
20/08/2025
Idioma:
Español
Vulnerabilidad de ejecución remota de código en funciones críticas por falta de autenticación en AOMEI Cyber Backup. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de AOMEI Cyber Backup. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el servicio StorageNode, que escucha en el puerto TCP 9075 por defecto. El problema se debe a la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-26156.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/08/2025

Vulnerabilidad en AOMEI Cyber Backup (CVE-2025-8611)
Fecha de publicación:
20/08/2025
Idioma:
Español
Vulnerabilidad de ejecución remota de código en funciones críticas por falta de autenticación en AOMEI Cyber Backup. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de AOMEI Cyber Backup. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el servicio DaoService, que escucha en el puerto TCP 9074 por defecto. El problema se debe a la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-26158.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/08/2025

Vulnerabilidad en AOMEI Backupper Workstation (CVE-2025-8612)
Fecha de publicación:
20/08/2025
Idioma:
Español
Vulnerabilidad de escalada de privilegios locales tras enlaces en AOMEI Backupper Workstation. Esta vulnerabilidad permite a atacantes locales escalar privilegios en las instalaciones afectadas de AOMEI Backupper Workstation. Para explotar esta vulnerabilidad, un atacante debe primero ejecutar código con pocos privilegios en el sistema objetivo. Además, se requiere la interacción del administrador. La falla específica se encuentra en la funcionalidad de restauración. Al crear una unión, un atacante puede abusar del servicio para crear archivos arbitrarios. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto del SYSTEM. Anteriormente, se denominaba ZDI-CAN-27059.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/09/2025
Suscribirse a Vulnerabilidades