Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress (CVE-2025-7360)

Fecha de publicación:
15/07/2025
Idioma:
Español
El complemento HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress es vulnerable a la transferencia arbitraria de archivos debido a una validación insuficiente de la ruta de archivo en la función handle_files_upload() en todas las versiones hasta la 2.2.1 incluida. Esto permite que atacantes no autenticados transfieran archivos arbitrarios en el servidor, lo que puede provocar fácilmente la ejecución remota de código al transferir el archivo correcto (como wp-config.php).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/07/2025

Vulnerabilidad en HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress (CVE-2025-7341)

Fecha de publicación:
15/07/2025
Idioma:
Español
El complemento HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta de archivo en la función temp_file_delete() en todas las versiones hasta la 2.2.1 incluida. Esto permite que atacantes no autenticados eliminen archivos arbitrarios en el servidor, lo que puede provocar fácilmente la ejecución remota de código al eliminar el archivo correcto (como wp-config.php).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/07/2025

Vulnerabilidad en HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress (CVE-2025-7340)

Fecha de publicación:
15/07/2025
Idioma:
Español
El complemento HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función temp_file_upload en todas las versiones hasta la 2.2.1 incluida. Esto permite que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo que podría posibilitar la ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/07/2025

Vulnerabilidad en Alone – Charity Multipurpose Non-profit WordPress Theme para WordPress (CVE-2025-5394)

Fecha de publicación:
15/07/2025
Idioma:
Español
El tema Alone – Charity Multipurpose Non-profit WordPress Theme para WordPress sin fines de lucro y caritativo es vulnerable a la carga de archivos arbitrarios debido a la falta de una comprobación de capacidad en la función alone_import_pack_install_plugin() en todas las versiones hasta la 7.8.3 incluida. Esto permite que atacantes no autenticados carguen archivos zip con webshells camuflados en complementos desde ubicaciones remotas para ejecutar código remoto.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2025

Vulnerabilidad en Alone – Charity Multipurpose Non-profit WordPress Theme de WordPress (CVE-2025-5393)

Fecha de publicación:
15/07/2025
Idioma:
Español
El tema Alone – Charity Multipurpose Non-profit WordPress Theme de WordPress para organizaciones benéficas sin ánimo de lucro es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta de archivo en la función alone_import_pack_restore_data() en todas las versiones hasta la 7.8.3 incluida. Esto permite que atacantes no autenticados eliminen archivos arbitrarios en el servidor, lo que puede provocar fácilmente la ejecución remota de código al eliminar el archivo correcto (como wp-config.php).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2025

Vulnerabilidad en Zyxel NWA50AX PRO (CVE-2025-6265)

Fecha de publicación:
15/07/2025
Idioma:
Español
Una vulnerabilidad de path traversal en el programa CGI file_upload-cgi del firmware Zyxel NWA50AX PRO versión 7.10 (ACGE.2) y anteriores podría permitir que un atacante autenticado con privilegios de administrador acceda a directorios específicos y elimine archivos, como el archivo de configuración, en el dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en TIME LINE (CVE-2025-53891)

Fecha de publicación:
15/07/2025
Idioma:
Español
El repositorio timelineofficial/Time-Line- contiene el código fuente del sitio web TIME LINE. Se encontró una vulnerabilidad en el sitio web TIME LINE donde los archivos subidos (instrucciones/mensajes multimedia) no se validan estrictamente en cuanto a tipo y tamaño. Un usuario podría subir archivos renombrados o de gran tamaño que pueden afectar el rendimiento o eludir restricciones. Esto podría provocar la carga maliciosa de archivos, denegación de servicio o fallos del cliente. La versión 1.0.5 contiene una solución para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en Pyload (CVE-2025-53890)

Fecha de publicación:
15/07/2025
Idioma:
Español
Pyload es un gestor de descargas de código abierto escrito en Python puro. Una vulnerabilidad de evaluación de JavaScript insegura en el código de procesamiento de CAPTCHA de PyLoad permite a atacantes remotos no autenticados ejecutar código arbitrario en el navegador del cliente y, potencialmente, en el servidor backend. Su explotación no requiere interacción ni autenticación del usuario y puede provocar el secuestro de sesión, el robo de credenciales y la ejecución remota de código en todo el sistema. El commit 909e5c97885237530d1264cfceb5555870eb9546, el parche para este problema, está incluido en la versión 0.5.0b3.dev89.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2025

Vulnerabilidad en DRACOON (CVE-2025-53839)

Fecha de publicación:
15/07/2025
Idioma:
Español
DRACOON es un servicio para compartir archivos, y su Servicio de Marca permite a los clientes personalizar la interfaz de DRACOON con su marca. Las versiones del Servicio de Marca DRACOON anteriores a la 2.10.0 son vulnerables a ataques de cross-site scripting. La neutralización incorrecta de la entrada de usuarios administrativos podría inyectar código HTML en el flujo de trabajo de los nuevos usuarios. Se publicó una corrección en la versión 2.10.0 y se implementó en el servicio DRACOON. Los clientes de DRACOON no necesitan realizar ninguna acción.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en Directus (CVE-2025-53885)

Fecha de publicación:
15/07/2025
Idioma:
Español
Directus es una API en tiempo real y un panel de control para aplicaciones que permite gestionar el contenido de bases de datos SQL. A partir de la versión 9.0.0 y anteriores a la 11.9.0, al usar flujos de Directus para gestionar eventos CRUD de los usuarios, es posible registrar los datos entrantes en la consola mediante la operación "Registrar en consola" y una cadena de plantilla. Administradores malintencionados pueden registrar datos confidenciales de otros usuarios al crearlos o actualizarlos. La versión 11.9.0 incluye una solución para este problema. Como solución alternativa, evite registrar datos confidenciales en la consola fuera del contexto del desarrollo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2025

Vulnerabilidad en Directus (CVE-2025-53886)

Fecha de publicación:
15/07/2025
Idioma:
Español
Directus es una API en tiempo real y un panel de control de aplicaciones para gestionar el contenido de bases de datos SQL. A partir de la versión 9.0.0 y anteriores a la 11.9.0, al usar flujos de Directus con el disparador de webhook, se registran todos los detalles de las solicitudes entrantes, incluyendo datos confidenciales como los tokens de acceso y actualización en las cookies. Administradores malintencionados con acceso a los registros pueden secuestrar las sesiones de usuario antes de que caduque el token al activar el flujo. La versión 11.9.0 soluciona este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2025

Vulnerabilidad en Directus (CVE-2025-53887)

Fecha de publicación:
15/07/2025
Idioma:
Español
Directus es una API en tiempo real y un panel de control de aplicaciones para gestionar el contenido de bases de datos SQL. A partir de la versión 9.0.0 y anteriores a la 11.9.0, el número de versión exacto de Directus se utiliza incorrectamente como versión de OpenAPI Spec, lo que significa que el endpoint `/server/specs/oas` lo expone sin autenticación. Con la información exacta de la versión, un atacante malicioso puede buscar vulnerabilidades conocidas en el núcleo de Directus o en cualquiera de sus dependencias incluidas en esa versión específica. La versión 11.9.0 soluciona este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2025