Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IDENTIFICADOR NO VÁLIDO (CVE-2025-54371)
Fecha de publicación:
23/07/2025
Idioma:
Español
Motivo del rechazo: Este CVE es un duplicado de otro CVE.
Gravedad: Pendiente de análisis
Última modificación:
23/07/2025

Vulnerabilidad en GNU C Library (CVE-2025-8058)
Fecha de publicación:
23/07/2025
Idioma:
Español
La función regcomp en las versiones 2.4 a 2.41 de la librería GNU C está sujeta a una doble liberación si falla alguna asignación previa. Esto puede lograrse mediante un fallo de malloc o mediante un malloc interpuesto que inyecta fallos aleatorios de malloc. La doble liberación puede permitir la manipulación del búfer según cómo se construya la expresión regular. Este problema afecta a todas las arquitecturas y ABIs compatibles con la librería GNU C.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Pinokio v3.6.23 (CVE-2025-44109)
Fecha de publicación:
23/07/2025
Idioma:
Español
Una redirección de URL en Pinokio v3.6.23 permite a los atacantes redirigir a los usuarios víctimas a páginas controladas por los atacantes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/07/2025

Vulnerabilidad en Redis (CVE-2025-46686)
Fecha de publicación:
23/07/2025
Idioma:
Español
Redis, hasta la versión 7.4.3, permite el consumo de memoria mediante un comando multibulk compuesto por varios lotes, enviado por un usuario autenticado. Esto ocurre porque el servidor asigna memoria para los argumentos de cada lote, incluso si el comando se omite por falta de permisos.
Gravedad CVSS v3.1: BAJA
Última modificación:
26/08/2025

Vulnerabilidad en  SIP Mitel (CVE-2025-47187)
Fecha de publicación:
23/07/2025
Idioma:
Español
Una vulnerabilidad en los teléfonos SIP Mitel de las series 6800, 6900 y 6900w, incluyendo la unidad de conferencia 6970 hasta la versión 6.4 SP4, podría permitir a un atacante no autenticado realizar un ataque de carga de archivos debido a la falta de mecanismos de autenticación. Una explotación exitosa podría permitir a un atacante cargar archivos WAV arbitrarios, lo que podría agotar la capacidad de almacenamiento del teléfono sin afectar su disponibilidad ni funcionamiento.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/07/2025

Vulnerabilidad en lbry-desktop v0.53.9 (CVE-2025-50477)
Fecha de publicación:
23/07/2025
Idioma:
Español
Una redirección de URL en lbry-desktop v0.53.9 permite a los atacantes redirigir a los usuarios víctimas a páginas controladas por los atacantes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/07/2025

Vulnerabilidad en GitLab CE/EE (CVE-2025-4439)
Fecha de publicación:
23/07/2025
Idioma:
Español
Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 15.10 hasta la 18.0.5, la 18.1 hasta la 18.1.3 y la 18.2 hasta la 18.2.1 que podría haber permitido que un usuario autenticado realizara ataques de cross-site scripting cuando la instancia se sirve a través de determinadas redes de distribución de contenido.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2025

Vulnerabilidad en GitLab CE/EE (CVE-2025-4700)
Fecha de publicación:
23/07/2025
Idioma:
Español
Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 15.10 hasta la 18.0.5, la 18.1 hasta la 18.1.3 y la 18.2 hasta la 18.2.1 que, en circunstancias específicas, podría haber permitido que un atacante exitoso desencadenara una representación de contenido no deseada que condujera a XSS.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2025

Vulnerabilidad en OpenSSL (CVE-2025-8069)
Fecha de publicación:
23/07/2025
Idioma:
Español
Durante la instalación del cliente AWS Client VPN en dispositivos Windows, el proceso de instalación utiliza el directorio C:\usr\local\windows-x86_64-openssl-localbuild\ssl para obtener el archivo de configuración de OpenSSL. Por lo tanto, un usuario no administrador podría insertar código arbitrario en el archivo de configuración. Si un usuario administrador inicia la instalación del cliente AWS Client VPN, dicho código podría ejecutarse con privilegios de root. Este problema no afecta a dispositivos Linux ni Mac. Recomendamos a los usuarios que interrumpan cualquier instalación nueva de AWS Client VPN en Windows anterior a la versión 5.2.2.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/10/2025

Vulnerabilidad en vBulletin 3.8.7 (CVE-2025-46171)
Fecha de publicación:
23/07/2025
Idioma:
Español
vBulletin 3.8.7 es vulnerable a una condición de denegación de servicio a través del endpoint misc.php?do=buddylist. Si un usuario autenticado tiene una lista de amigos suficientemente grande, procesarla puede consumir demasiada memoria, agotando los recursos del sistema y provocando el colapso del foro.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/07/2025

Vulnerabilidad en Mezzanine CMS v6.1.0 (CVE-2025-50481)
Fecha de publicación:
23/07/2025
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) en el componente /blog/blogpost/add de Mezzanine CMS v6.1.0 permite a los atacantes ejecutar scripts web arbitrarios en las páginas mediante la inyección de un payload manipulado en una publicación de blog.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/07/2025

Vulnerabilidad en LabVIEW en lvre!UDecStrToNum (CVE-2025-2633)
Fecha de publicación:
23/07/2025
Idioma:
Español
Vulnerabilidad de lectura fuera de los límites debido a una comprobación incorrecta de los límites en NI LabVIEW en lvre!UDecStrToNum, que puede provocar la divulgación de información o la ejecución de código arbitrario. Para explotarla con éxito, el atacante debe obligar al usuario a abrir un VI especialmente manipulado. Esta vulnerabilidad afecta a NI LabVIEW 2025 Q1 y versiones anteriores.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/08/2025
Suscribirse a Vulnerabilidades