Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en FactoryTalk® Action Manager v1.0.0 (CVE-2025-9036)
Fecha de publicación:
14/08/2025
Idioma:
Español
Un problema de seguridad en el sistema de eventos en tiempo de ejecución permite que conexiones no autenticadas reciban un token de API reutilizable. Este token se transmite a través de un WebSocket y puede ser interceptado por cualquier cliente local que escuche la conexión.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/08/2025

Vulnerabilidad en Rockwell Automation (CVE-2025-7353)
Fecha de publicación:
14/08/2025
Idioma:
Español
Existe un problema de seguridad debido al agente de depuración web habilitado en los módulos Ethernet ControlLogix® de Rockwell Automation. Si se utiliza una dirección IP específica para conectarse al agente WDB, puede permitir que atacantes remotos realicen volcados de memoria, modifiquen la memoria y controlen el flujo de ejecución.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/08/2025

Vulnerabilidad en Rockwell Automation (CVE-2025-7773)
Fecha de publicación:
14/08/2025
Idioma:
Español
Existe un problema de seguridad en el servidor web del módulo digital configurable 5032 de 16 puntos. El número de sesión del servidor web aumenta a un intervalo que se correlaciona con el intervalo de las dos últimas sesiones de inicio de sesión consecutivas, lo que lo hace predecible.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/08/2025

Vulnerabilidad en Rockwell Automation (CVE-2025-7774)
Fecha de publicación:
14/08/2025
Idioma:
Español
Existe un problema de seguridad en el servidor web del módulo digital configurable 5032 de 16 puntos. Las credenciales de sesión interceptadas pueden usarse dentro de un período de tiempo de espera de 3 minutos, lo que permite a usuarios no autorizados realizar acciones privilegiadas.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/08/2025

Vulnerabilidad en FactoryTalk ViewPoint (CVE-2025-7973)
Fecha de publicación:
14/08/2025
Idioma:
Español
Existe un problema de seguridad en FactoryTalk ViewPoint versión 14.0 o anterior debido a la gestión incorrecta de las operaciones de reparación de MSI. Durante una reparación, los atacantes pueden secuestrar la ventana de consola cscript.exe, que se ejecuta con privilegios de SYSTEM. Esto puede aprovecharse para generar un símbolo del sistema con privilegios elevados, lo que permite una escalada completa de privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/08/2025

Vulnerabilidad en Apache Superset (CVE-2025-55672)
Fecha de publicación:
14/08/2025
Idioma:
Español
Existe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en la visualización de gráficos de Apache Superset. Un usuario autenticado con permisos para editar gráficos puede inyectar un payload malicioso en la etiqueta de una columna. Este payload no se depura correctamente y se ejecuta en el navegador de la víctima al pasar el cursor sobre el gráfico, lo que podría provocar el secuestro de sesión o la ejecución de comandos arbitrarios. Este problema afecta a Apache Superset: versiones anteriores a la 5.0.0. Se recomienda actualizar a la versión 5.0.0, que soluciona el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Apache Superset (CVE-2025-55673)
Fecha de publicación:
14/08/2025
Idioma:
Español
Cuando un usuario invitado accede a un gráfico en Apache Superset, la respuesta de la API del endpoint /chart/data incluye un campo de consulta en su payload. Este campo contiene la consulta subyacente, que revela incorrectamente información del esquema de la base de datos, como los nombres de las tablas, al usuario invitado con pocos privilegios. Este problema afecta a Apache Superset: versiones anteriores a la 4.1.3. Se recomienda actualizar a la versión 4.1.3, que soluciona el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Apache Superset (CVE-2025-55674)
Fecha de publicación:
14/08/2025
Idioma:
Español
Una omisión de la función de seguridad DISALLOWED_SQL_FUNCTIONS en Apache Superset permite la ejecución de funciones SQL bloqueadas. Un atacante puede usar un bloque en línea especial para eludir la lista de denegados. Esto permite a un usuario con acceso a SQL Lab ejecutar funciones que estaban destinadas a estar deshabilitadas, lo que conlleva la divulgación de información confidencial de la base de datos, como la versión del software. Este problema afecta a Apache Superset: versiones anteriores a la 5.0.0. Se recomienda a los usuarios actualizar a la versión 5.0.0, que soluciona el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Apache Superset (CVE-2025-55675)
Fecha de publicación:
14/08/2025
Idioma:
Español
Apache Superset contiene una vulnerabilidad de control de acceso inadecuado en su endpoint /explore. La falta de una comprobación de autorización permite a un usuario autenticado descubrir metadatos sobre fuentes de datos a las que no tiene permiso de acceso. Al iterar a través del datasource_id en la URL, un atacante puede enumerar y confirmar la existencia y los nombres de las fuentes de datos protegidas, lo que provoca la divulgación de información confidencial. Este problema afecta a Apache Superset: versiones anteriores a la 5.0.0. Se recomienda a los usuarios actualizar a la versión 5.0.0, que soluciona el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en KuWFi GC111 (CVE-2025-43984)
Fecha de publicación:
14/08/2025
Idioma:
Español
Se detectó un problema en los dispositivos KuWFi GC111 (versión de hardware: CPE-LM321_V3.2, versión de software: GC111-GL-LM321_V3.0_20191211). Son vulnerables a solicitudes /goform/goform_set_cmd_process no autenticadas. Una solicitud POST manipulada, que utiliza el parámetro SSID, permite a atacantes remotos ejecutar comandos arbitrarios del sistema operativo con privilegios de root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/08/2025

Vulnerabilidad en KuWFi 4G LTE AC900 1.0.13 (CVE-2024-53946)
Fecha de publicación:
14/08/2025
Idioma:
Español
El router KuWFi 4G LTE AC900 1.0.13 es vulnerable a Cross-Site Request Forgery (CSRF) en su interfaz de administración web. Esta vulnerabilidad permite a un atacante engañar a un usuario administrador autenticado para que realice acciones no autorizadas, como explotar una vulnerabilidad de inyección de comandos en /goform/formMultiApnSetting. Una explotación exitosa también puede llevar a cambios de configuración no autorizados.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/08/2025

Vulnerabilidad en KuWFi 4G AC900 LTE 1.0.13 (CVE-2024-53945)
Fecha de publicación:
14/08/2025
Idioma:
Español
El router KuWFi 4G AC900 LTE 1.0.13 es vulnerable a la inyección de comandos en los endpoints de la API HTTP /goform/formMultiApnSetting y /goform/atCmd. Un atacante autenticado puede ejecutar comandos arbitrarios del sistema operativo con privilegios de root mediante metacaracteres de shell en parámetros como el código PIN y los comandos. Su explotación puede comprometer completamente el sistema, incluyendo la habilitación del acceso remoto (p. ej., habilitando Telnet).
Gravedad CVSS v3.1: ALTA
Última modificación:
15/08/2025
Suscribirse a Vulnerabilidades