Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Kaseya Rapid Fire Tools Network Detective (CVE-2025-32874)
Fecha de publicación:
16/07/2025
Idioma:
Español
Se descubrió un problema en Kaseya Rapid Fire Tools Network Detective hasta la versión 2.0.16.0. Existe una vulnerabilidad en la clase EncryptionUtil debido a que el cifrado simétrico se implementa de forma determinista y no aleatoria. El método Encrypt(byte[] clearData) deriva tanto la clave de cifrado como el IV de una entrada fija y codificada mediante un valor de sal estático. Como resultado, las entradas de texto plano idénticas siempre producen salidas de texto cifrado idénticas. Esto aplica tanto para contraseñas generadas con FIPS como sin FIPS. En otras palabras, existe una falla de implementación criptográfica en el mecanismo de cifrado de contraseñas. Si bien existen múltiples métodos de cifrado agrupados bajo las clasificaciones FIPS y sin FIPS, la lógica resulta consistentemente en salidas cifradas predecibles y reversibles debido a la falta de aleatoriedad por operación y autenticación de cifrado.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/11/2025

Vulnerabilidad en META-INF Kft. Email This Issue (CVE-2024-42912)
Fecha de publicación:
16/07/2025
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) en META-INF Kft. Email This Issue (Data Center) anterior a la versión 9.13.0-GA permite a los atacantes ejecutar scripts web o HTML arbitrarios mediante la inyección de un payload manipulado en el campo de destinatario de un mensaje de correo electrónico.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2025

Vulnerabilidad en Vue I18n (CVE-2025-53892)
Fecha de publicación:
16/07/2025
Idioma:
Español
Vue I18n es el complemento de internacionalización para Vue.js. La opción "escapeParameterHtml: true" de Vue I18n está diseñada para proteger contra la inyección de HTML/scripts mediante el escape de parámetros interpolados. Sin embargo, a partir de la versión 9.0.0 y anteriores a las versiones 9.14.5, 10.0.8 y 11.1.0, esta configuración no impide la ejecución de ciertos payloads basadas en etiquetas, como , si el valor interpolado se inserta dentro de un contexto HTML mediante v-html. Esto puede provocar una vulnerabilidad XSS basada en DOM, incluso al usar "escapeParameterHtml: true", si una cadena de traducción incluye HTML menor y se renderiza mediante v-html. Las versiones 9.14.5, 10.0.8 y 11.1.0 incluyen una solución para este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/07/2025

Vulnerabilidad en Emlog (CVE-2025-53923)
Fecha de publicación:
16/07/2025
Idioma:
Español
Emlog es un sistema de código abierto para la creación de sitios web. Una vulnerabilidad de cross-site scripting (XSS) en emlog, hasta la versión pro-2.5.17 incluida, permite a atacantes remotos inyectar código web o HTML arbitrario mediante el parámetro de palabra clave. Debido a la falta de depuración, es posible inyectar código HTML/JS en el parámetro de palabra clave. Si se convence a un usuario para que haga clic en un enlace preparado, es posible ejecutar cualquier código JS en el navegador del administrador. Al momento de la publicación, no se conocen versiones parcheadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/07/2025

Vulnerabilidad en Emlog (CVE-2025-53924)
Fecha de publicación:
16/07/2025
Idioma:
Español
Emlog es un sistema de código abierto para la creación de sitios web. Una vulnerabilidad de cross-site scripting (XSS) en emlog, hasta la versión pro-2.5.17 incluida, permite a atacantes remotos autenticados inyectar código web o HTML arbitrario mediante el parámetro siteurl. Es posible inyectar código malicioso en el parámetro siteurl, lo que resulta en XSS almacenado. Al hacer clic en el enlace, se ejecuta el código malicioso. Al momento de la publicación, no se conocen versiones parcheadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/07/2025

Vulnerabilidad en Icinga DB Web (CVE-2025-53840)
Fecha de publicación:
16/07/2025
Idioma:
Español
Icinga DB Web proporciona una interfaz gráfica para la monitorización de Icinga. A partir de la versión 1.2.0 y anteriores a la 1.2.2, los usuarios con acceso a las Vistas de Dependencias de Icinga pueden ver hosts y servicios que no deberían en el mapa de dependencias. Sin embargo, no se revelará el nombre de un objeto ni se accederá a la vista detallada de un host o servicio. Tenga en cuenta que esto solo afecta a las restricciones `filter/hosts` y `filter/services`. `filter/objects` no se ve afectado y restringe los objetos como debería. La versión 1.2.2 aplica estas restricciones correctamente. Como solución alternativa, se puede actualizar a la versión 1.1.3.
Gravedad CVSS v3.1: BAJA
Última modificación:
11/12/2025

Vulnerabilidad en BIND (CVE-2025-40776)
Fecha de publicación:
16/07/2025
Idioma:
Español
Un solucionador de caché con nombre configurado para enviar opciones de ECS (subred de cliente EDNS) podría ser vulnerable a un ataque de envenenamiento de caché. Este problema afecta a las versiones de BIND 9 de la 9.11.3-S1 a la 9.16.50-S1, de la 9.18.11-S1 a la 9.18.37-S1 y de la 9.20.9-S1 a la 9.20.10-S1.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/07/2025

Vulnerabilidad en Net::Dropbear para Perl (CVE-2025-40913)
Fecha de publicación:
16/07/2025
Idioma:
Español
Las versiones de Net::Dropbear hasta la 0.16 para Perl contienen una dependencia susceptible a un desbordamiento de enteros. Net::Dropbear integra una versión de la librería libtommath susceptible a un desbordamiento de enteros asociado con CVE-2023-36328.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2025

Vulnerabilidad en Authen::DigestMD5 para Perl (CVE-2025-40919)
Fecha de publicación:
16/07/2025
Idioma:
Español
Las versiones 0.01 a 0.02 de Authen::DigestMD5 para Perl generan el cnonce de forma insegura. El cnonce (nonce del cliente) se genera a partir de un hash MD5 del PID, la fecha de la época y la función rand integrada. El PID se obtendrá de un pequeño conjunto de números, y la fecha de la época puede ser deducible si no se filtra del encabezado HTTP Date. La función rand integrada no es adecuada para uso criptográfico. Según la RFC 2831, «El valor cnonce es un valor de cadena opaco entre comillas proporcionado por el cliente y utilizado tanto por el cliente como por el servidor para evitar ataques de texto plano y proporcionar autenticación mutua. La seguridad de la implementación depende de una buena elección. Se RECOMIENDA que contenga al menos 64 bits de entropía».
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2025

Vulnerabilidad en Authen::SASL::Perl::DIGEST_MD5 para Perl (CVE-2025-40918)
Fecha de publicación:
16/07/2025
Idioma:
Español
Authen::SASL::Perl::DIGEST_MD5, versiones 2.04 a 2.1800 para Perl, genera el cnonce de forma insegura. El cnonce (nonce del cliente) se genera a partir de un hash MD5 del PID, la fecha de la época y la función rand integrada. El PID se obtendrá de un pequeño conjunto de números, y la fecha de la época puede ser inferida si no se filtra del encabezado HTTP Date. La función rand integrada no es adecuada para uso criptográfico. Según la RFC 2831, el valor cnonce es una cadena opaca entre comillas proporcionada por el cliente y utilizada tanto por el cliente como por el servidor para evitar ataques de texto plano y proporcionar autenticación mutua. La seguridad de la implementación depende de una buena elección. Se recomienda que contenga al menos 64 bits de entropía.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en GoAnywhere MFT de Fortra (CVE-2025-3871)
Fecha de publicación:
16/07/2025
Idioma:
Español
Un control de acceso deficiente en GoAnywhere MFT de Fortra anterior a la versión 7.8.1 permite a un atacante crear una situación de denegación de servicio cuando se configura para usar la autenticación de dos factores (2FA) de correo electrónico de GoAnywhere One-Time Password (GOTP) y el usuario no ha configurado una dirección de correo electrónico. En este caso, el atacante puede introducir la dirección de correo electrónico de un usuario conocido cuando se le solicite, y este quedará inhabilitado si ha configurado GOTP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2025

Vulnerabilidad en Plack-Middleware-Session para Perl (CVE-2025-40923)
Fecha de publicación:
16/07/2025
Idioma:
Español
Las versiones anteriores a la 0.35 de Plack-Middleware-Session para Perl generan identificadores de sesión de forma insegura. El generador de identificadores de sesión predeterminado devuelve un hash SHA-1 con la función rand integrada, la fecha y hora y el PID. El PID se obtendrá de un pequeño conjunto de números, y la fecha y hora pueden ser adivinadas si no se filtran del encabezado HTTP Date. La función rand integrada no es adecuada para uso criptográfico. Los identificadores de sesión predecibles podrían permitir que un atacante acceda a los sistemas.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025
Suscribirse a Vulnerabilidades