Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Mitsubishi Electric Corporation G-50 y CMS-RMD-J (CVE-2025-3699)
Fecha de publicación:
26/06/2025
Idioma:
Español
Vulnerabilidad de autenticación faltante para función crítica en Mitsubishi Electric Corporation G-50 versión 3.37 y anteriores, G-50-W versión 3.37 y anteriores, G-50A versión 3.37 y anteriores, GB-50 versión 3.37 y anteriores, GB-50A versión 3.37 y anteriores, GB-24A versión 9.12 y anteriores, G-150AD versión 3.21 y anteriores, AG-150A-A versión 3.21 y anteriores, AG-150A-J versión 3.21 y anteriores, GB-50AD versión 3.21 y anteriores, GB-50ADA-A versión 3.21 y anteriores, GB-50ADA-J versión 3.21 y anteriores, EB-50GU-A versión 7.11 y anteriores, EB-50GU-J versión 7.11 y anteriores, AE-200J versión 8.01 y anteriores. AE-200A versión 8.01 y anteriores, AE-200E versión 8.01 y anteriores, AE-50J versión 8.01 y anteriores, AE-50A versión 8.01 y anteriores, AE-50E versión 8.01 y anteriores, EW-50J versión 8.01 y anteriores, EW-50A versión 8.01 y anteriores, EW-50E versión 8.01 y anteriores, TE-200A versión 8.01 y anteriores, TE-50A versión 8.01 y anteriores, TW-50A versión 8.01 y anteriores, y CMS-RMD-J versión 1.40 y anteriores permiten a un atacante remoto no autenticado eludir la autenticación y, posteriormente, controlar ilegalmente los sistemas de aire acondicionado o divulgar información sobre ellos aprovechando esta vulnerabilidad. Además, el atacante puede manipular el firmware de los sistemas utilizando la información divulgada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/06/2025

Vulnerabilidad en UTT HiPER 840G (CVE-2025-6733)
Fecha de publicación:
26/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en UTT HiPER 840G hasta la versión 3.1.1-190328. Se ha declarado crítica. Esta vulnerabilidad afecta a la función sub_416928 del archivo /goform/formConfigDnsFilterGlobal de la API del componente. La manipulación del argumento GroupName provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/06/2025

Vulnerabilidad en UTT HiPER 840G (CVE-2025-6734)
Fecha de publicación:
26/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en UTT HiPER 840G hasta la versión 3.1.1-190328. Se ha clasificado como crítica. Este problema afecta a la función sub_484E40 del archivo /goform/formP2PLimitConfig de la API del componente. La manipulación del argumento "except" provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/06/2025

Vulnerabilidad en yzcheng90 X-SpringBoot (CVE-2025-6731)
Fecha de publicación:
26/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en yzcheng90 X-SpringBoot (hasta la versión 5.0), clasificada como crítica. Este problema afecta a la función uploadApk del archivo /sys/oss/upload/apk del componente APK File Handler. La manipulación del argumento "File" provoca un path traversal. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/06/2025

Vulnerabilidad en UTT HiPER 840G (CVE-2025-6732)
Fecha de publicación:
26/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en UTT HiPER 840G hasta la versión 3.1.1-190328. Se ha clasificado como crítica. Afecta a la función strcpy del archivo /goform/setSysAdm de la API del componente. La manipulación del argumento passwd1 provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/06/2025

Vulnerabilidad en yubiserver (CVE-2015-0842)
Fecha de publicación:
26/06/2025
Idioma:
Español
yubiserver anterior a 0.6 es propenso a problemas de inyección de SQL, lo que puede llevar a una omisión de autenticación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/06/2025

Vulnerabilidad en yubiserver (CVE-2015-0843)
Fecha de publicación:
26/06/2025
Idioma:
Español
yubiserver anterior a 0.6 es propenso a desbordamientos de búfer debido al mal uso de sprintf.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/06/2025

Vulnerabilidad en Infinispan (CVE-2025-5731)
Fecha de publicación:
26/06/2025
Idioma:
Español
Se detectó una falla en la CLI de Infinispan. Una contraseña confidencial, decodificada a partir de un secreto de Kubernetes codificado en Base64, se procesa en texto plano y se incluye en una cadena de comandos que puede exponer los datos en un mensaje de error cuando no se encuentra un comando.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2025

Vulnerabilidad en Pycode-browser (CVE-2015-0849)
Fecha de publicación:
26/06/2025
Idioma:
Español
Las versiones anteriores a 1.0 de Pycode-browser son propensas a una predecible vulnerabilidad de archivos temporales.
Gravedad CVSS v3.1: BAJA
Última modificación:
02/07/2025

Vulnerabilidad en Ceph (CVE-2025-52555)
Fecha de publicación:
26/06/2025
Idioma:
Español
Ceph es una plataforma distribuida de almacenamiento de objetos, bloques y archivos. En las versiones 17.2.7, 18.2.1 a 18.2.4 y 19.0.0 a 19.2.2, un usuario sin privilegios puede escalar a privilegios de root en un CephFS montado con ceph-fuse mediante chmod 777 en un directorio propiedad de root para obtener acceso. Como resultado, un usuario puede leer, escribir y ejecutar en cualquier directorio propiedad de root siempre que lo modifique con chmod 777. Esto afecta la confidencialidad, la integridad y la disponibilidad. Este problema se ha corregido en las versiones 17.2.8, 18.2.5 y 19.2.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2025

Vulnerabilidad en fusionforge (CVE-2014-0468)
Fecha de publicación:
26/06/2025
Idioma:
Español
Vulnerabilidad en fusionforge en la configuración de Apache de fábrica, donde el servidor web podría ejecutar scripts que los usuarios habrían subido a sus repositorios SCM sin procesar (SVN, Git, Bzr, etc.). Este problema afecta a fusionforge: versiones anteriores a 5.3+20140506.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/06/2025

Vulnerabilidad en Debian (CVE-2014-7210)
Fecha de publicación:
26/06/2025
Idioma:
Español
El paquete específico de pdns, tal como se incluye en Debian en versiones anteriores a la 3.3.1-1, crea un usuario MySQL con demasiados privilegios. Se descubrió que los scripts de mantenimiento de pdns-backend-mysql otorgan permisos de base de datos demasiado amplios al usuario pdns. Los demás backends no se ven afectados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/06/2025
Suscribirse a Vulnerabilidades