Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Mahara (CVE-2022-45133)
Fecha de publicación:
22/08/2025
Idioma:
Español
Mahara 21.10 (anterior a 21.10.6), 22.04 (anterior a 22.04.4) y 22.10 (anterior a 22.10.1) permiten la carga de fuentes no seguras para máscaras. Un archivo XML especialmente estructurado podría permitir el acceso al servidor a archivos seguros o provocar la ejecución de código basándose en la payload.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2025

Vulnerabilidad en gnark (CVE-2025-57801)
Fecha de publicación:
22/08/2025
Idioma:
Español
gnark es un framework de sistemas a prueba de conocimiento cero. En versiones anteriores a la 0.14.0, la función Verificar de eddsa.go y ecdsa.go utilizaba el valor S de una firma sin afirmar que 0 ? S < orden, lo que generaba una vulnerabilidad de maleabilidad de firma. Dado que los circuitos EdDSA y ECDSA nativos de Gnark carecen de restricciones esenciales, varios testigos distintos pueden satisfacer las mismas entradas públicas. En protocolos donde los anuladores o las comprobaciones antirrepetición se derivan de R y S, esto permite la maleabilidad de firma y puede permitir el doble gasto. Este problema se ha solucionado en la versión 0.14.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/09/2025

Vulnerabilidad en Voltronic Power ViewPower, ViewPower Pro y PowerShield Netguard (CVE-2022-31491)
Fecha de publicación:
22/08/2025
Idioma:
Español
Voltronic Power ViewPower (versión 1.04-24215), ViewPower Pro (versión 2.0-22165) y PowerShield Netguard (versión anterior a 1.04-23292) permiten a un atacante remoto ejecutar código arbitrario a través de una interfaz web no especificada relacionada con la detección del apagado de un SAI administrado. Un atacante no autenticado puede usar esto para ejecutar código arbitrario inmediatamente, independientemente del estado o la presencia del SAI administrado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/08/2025

Vulnerabilidad en Voltronic Power ViewPower y PowerShield Netguard (CVE-2022-43110)
Fecha de publicación:
22/08/2025
Idioma:
Español
Voltronic Power ViewPower (versión 1.04-21353) y PowerShield Netguard (versión anterior a 1.04-23292) permiten a un atacante remoto configurar el sistema mediante una interfaz web no especificada. Un atacante remoto no autenticado puede realizar cambios en el sistema, como cambiar la contraseña de administrador de la interfaz web, ver/modificar la configuración del sistema, enumerar y apagar los dispositivos UPS conectados. Esto incluye la posibilidad de configurar los comandos del sistema operativo que deben ejecutarse si el sistema detecta que un UPS conectado se apaga.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/08/2025

Vulnerabilidad en DooTask v1.0.51 (CVE-2025-55454)
Fecha de publicación:
22/08/2025
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitrarios autenticados en el componente /msg/sendfiles de DooTask v1.0.51 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2025

Vulnerabilidad en Centreon (CVE-2025-6791)
Fecha de publicación:
22/08/2025
Idioma:
Español
En la página de monitoreo de registros de eventos, es posible modificar la solicitud HTTP para insertar un payload en la base de datos. Esto se debe a una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en la web de Centreon (módulos de monitoreo de registros de eventos) que permite la inyección SQL. Este problema afecta a la web: desde la versión 24.10.0 hasta la 24.10.9, desde la versión 24.04.0 hasta la 24.04.16, desde la versión 23.10.0 hasta la 23.10.26.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/10/2025

Vulnerabilidad en Apache Log4cxx (CVE-2025-54813)
Fecha de publicación:
22/08/2025
Idioma:
Español
Vulnerabilidad de neutralización de salida incorrecta para registros en Apache Log4cxx. Al usar JSONLayout, no todos los bytes del payload se escapan correctamente. Si un mensaje proporcionado por un atacante contiene caracteres no imprimibles, estos se pasarán en el mensaje y se escribirán como parte del mensaje JSON. Esto puede impedir que las aplicaciones que consumen estos registros interpreten correctamente la información que contienen. Este problema afecta a Apache Log4cxx: versiones anteriores a la 1.5.0. Se recomienda actualizar a la versión 1.5.0, que soluciona el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Easy Hosting Control Panel 20.04.1.b (CVE-2025-50858)
Fecha de publicación:
22/08/2025
Idioma:
Español
La ejecución de cross-site scripting reflejado en la función Listar bases de datos MySQL en Easy Hosting Control Panel (EHCP) 20.04.1.b permite a atacantes autenticados ejecutar JavaScript arbitrario a través del parámetro de acción.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2025

Vulnerabilidad en Easy Hosting Control Panel 20.04.1.b (CVE-2025-50859)
Fecha de publicación:
22/08/2025
Idioma:
Español
La ejecución de cross-site scripting reflejado en la función Cambiar plantilla en Easy Hosting Control Panel (EHCP) 20.04.1.b permite a atacantes autenticados ejecutar JavaScript arbitrario a través del parámetro de plantilla.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2025

Vulnerabilidad en LogIn-SignUp de VishnuSivadasVS (CVE-2025-51092)
Fecha de publicación:
22/08/2025
Idioma:
Español
El proyecto LogIn-SignUp de VishnuSivadasVS es vulnerable a la inyección SQL debido a la construcción insegura de consultas SQL en DataBase.php. Las funciones logIn() y signUp() generan consultas concatenando directamente la entrada del usuario y los nombres de tabla no validados, sin usar sentencias preparadas. Si bien existe la función prepareData(), esta no es suficiente para prevenir la inyección SQL y no depura el nombre de la tabla.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2025

Vulnerabilidad en Apache Log4cxx (CVE-2025-54812)
Fecha de publicación:
22/08/2025
Idioma:
Español
Vulnerabilidad de neutralización de salida incorrecta para registros en Apache Log4cxx. Al usar HTMLLayout, los nombres de registradores no se escapan correctamente al escribir en el archivo HTML. Si se usan datos no confiables para recuperar el nombre de un registrador, un atacante podría, en teoría, inyectar HTML o Javascript para ocultar información de los registros o robar datos del usuario. Para activar esto, debe ocurrir la siguiente secuencia: * Log4cxx está configurado para usar HTMLLayout. * El nombre del registrador proviene de una cadena no confiable * El registrador con nombre comprometido registra un mensaje * El usuario abre el archivo de registro HTML generado en su navegador, lo que lleva a un posible XSS Debido a que los nombres de registradores generalmente son cadenas constantes, evaluamos el impacto para los usuarios como BAJO Este problema afecta a Apache Log4cxx: antes de 1.5.0. Se recomienda a los usuarios actualizar a la versión 1.5.0, que soluciona el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
04/11/2025

Vulnerabilidad en Centreon (CVE-2025-4650)
Fecha de publicación:
22/08/2025
Idioma:
Español
Un usuario con privilegios elevados puede introducir un SQLi mediante la página indicadora de Metaservicio. Esto se debe a una neutralización incorrecta de elementos especiales utilizados en un comando SQL. Este problema afecta a la web: desde la versión 24.10.0 hasta la 24.10.9, desde la versión 24.04.0 hasta la 24.04.16, desde la versión 23.10.0 hasta la 23.10.26.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/10/2025
Suscribirse a Vulnerabilidades