Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Nix (CVE-2025-53819)
Fecha de publicación:
14/07/2025
Idioma:
Español
Nix es un gestor de paquetes para Linux y otros sistemas Unix. Las compilaciones con Nix 2.30.0 en macOS se ejecutaban con privilegios elevados (root), en lugar de los usuarios de la compilación. La corrección se aplicó a Nix 2.30.1. No se conocen soluciones alternativas.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en WeGIA (CVE-2025-53820)
Fecha de publicación:
14/07/2025
Idioma:
Español
WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) Reflejado en el endpoint `index.php` de la aplicación WeGIA antes de la versión 3.4.5. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `erro`. La versión 3.4.5 incluye un parche para solucionar el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en AIOHTTP (CVE-2025-53643)
Fecha de publicación:
14/07/2025
Idioma:
Español
AIOHTTP es un framework cliente/servidor HTTP asíncrono para asyncio y Python. En versiones anteriores a la 3.12.14, el analizador de Python era vulnerable a una vulnerabilidad de contrabando de solicitudes debido a que no analizaba las secciones finales de una solicitud HTTP. Si se instala una versión de aiohttp pura en Python (es decir, sin las extensiones habituales de C) o se habilita AIOHTTP_NO_EXTENSIONS, un atacante podría ejecutar un ataque de contrabando de solicitudes para eludir ciertas protecciones de firewall o proxy. La versión 3.12.14 incluye un parche para este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
15/07/2025

Vulnerabilidad en GitHub Kanban MCP Server (CVE-2025-53818)
Fecha de publicación:
14/07/2025
Idioma:
Español
GitHub Kanban MCP Server es un servidor de Protocolo de Contexto de Modelo (MCP) para gestionar incidencias de GitHub en formato de tablero Kanban y optimizar la gestión de tareas LLM. Las versiones 0.3.0 y 0.4.0 del servidor MCP están escritas de forma que son vulnerables a ataques de vulnerabilidad de inyección de comandos como parte de la definición e implementación de algunas de sus herramientas. El servidor MCP expone la herramienta `add_comment`, que se basa en la API `exec` del proceso secundario de Node.js para ejecutar el comando de GitHub (`gh`). Esta API es insegura y vulnerable si se concatena con entradas de usuario no confiables. Al momento de la publicación, no se conocían parches disponibles.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en Indico (CVE-2025-53640)
Fecha de publicación:
14/07/2025
Idioma:
Español
Indico es un sistema de gestión de eventos que utiliza Flask-Multipass, un sistema de autenticación multibackend para Flask. A partir de la versión 2.2 y anteriores a la 3.3.7, un endpoint utilizado para mostrar la información de los usuarios en ciertos campos (como las ACL) podía utilizarse indebidamente para volcar información básica del usuario (como nombre, afiliación y correo electrónico) de forma masiva. La versión 3.3.7 soluciona este problema. Los propietarios de instancias que permiten a cualquier persona crear una cuenta de usuario y que deseen restringir el acceso a esta información de usuario deberían considerar restringir la búsqueda de usuarios a los administradores. Como solución alternativa, es posible restringir el acceso a los endpoints afectados (por ejemplo, en la configuración del servidor web); sin embargo, esto interrumpiría el funcionamiento de ciertos campos de formulario, que ya no mostrarían la información de los usuarios incluidos en ellos, por lo que se recomienda encarecidamente actualizar la versión.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/07/2025

Vulnerabilidad en GitHub, Inc. (CVE-2025-53623)
Fecha de publicación:
14/07/2025
Idioma:
Español
La API de iteración de trabajos es una extensión de ActiveJob que permite interrumpir y reanudar los trabajos. Las versiones anteriores a la 1.11.0 presentan una vulnerabilidad de ejecución de código arbitrario en la clase `CsvEnumerator`. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema donde se ejecuta la aplicación, lo que podría provocar acceso no autorizado, fuga de datos o la vulneración total del sistema. El problema se ha solucionado en las versiones `1.11.0` y posteriores. Los usuarios pueden mitigar el riesgo evitando el uso de entradas no confiables en la clase `CsvEnumerator` y asegurándose de que las rutas de archivo se depuren y validen correctamente antes de pasarlas a los métodos de la clase. Se recomienda a los usuarios evitar el uso del método `count_of_rows_in_file` con nombres de archivo CSV no confiables.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en MeterSphere (CVE-2025-53639)
Fecha de publicación:
14/07/2025
Idioma:
Español
MeterSphere es una plataforma de pruebas continuas de código abierto. Antes de la versión 3.6.5-lts, el parámetro sortField en ciertos endpoints de la API no se validaba ni depuraba correctamente. Un atacante puede proporcionar una entrada manipulada para inyectar y ejecutar sentencias SQL arbitrarias mediante la función de ordenación. Esto podría provocar la modificación o eliminación del contenido de la base de datos, con la posible vulneración total de la integridad y disponibilidad de la base de datos de la aplicación. La versión 3.6.5-lts corrige este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en ImageMagick (CVE-2025-53019)
Fecha de publicación:
14/07/2025
Idioma:
Español
ImageMagick es un software gratuito y de código abierto que se utiliza para editar y manipular imágenes digitales. En versiones anteriores a la 7.1.2-0 y la 6.9.13-26, en el comando `magick stream` de ImageMagick, especificar varios especificadores de formato `%d` consecutivos en una plantilla de nombre de archivo causaba una pérdida de memoria. Las versiones 7.1.2-0 y 6.9.13-26 corrigieron el problema.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/07/2025

Vulnerabilidad en ImageMagick (CVE-2025-53101)
Fecha de publicación:
14/07/2025
Idioma:
Español
ImageMagick es un software gratuito y de código abierto que se utiliza para editar y manipular imágenes digitales. En versiones anteriores a la 7.1.2-0 y la 6.9.13-26, en el comando `magick mogrify` de ImageMagick, especificar varios especificadores de formato `%d` consecutivos en una plantilla de nombre de archivo provoca que la aritmética interna de punteros genere una dirección por debajo del inicio del búfer de pila, lo que provoca un desbordamiento de pila mediante `vsnprintf()`. Las versiones 7.1.2-0 y 6.9.13-26 solucionan este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en ImageMagick (CVE-2025-53015)
Fecha de publicación:
14/07/2025
Idioma:
Español
ImageMagick es un software gratuito y de código abierto que se utiliza para editar y manipular imágenes digitales. En versiones anteriores a la 7.1.2-0, se producían líneas infinitas al escribir durante un comando específico de conversión de archivos XMP. La versión 7.1.2-0 soluciona este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en YiJiuSmile kkFileViewOfficeEdit (CVE-2025-7627)
Fecha de publicación:
14/07/2025
Idioma:
Español
Se encontró una vulnerabilidad en YiJiuSmile kkFileViewOfficeEdit hasta 5fbc57c48e8fe6c1b91e0e7995e2d59615f37abd, clasificada como crítica. Este problema afecta a la función fileUpload del archivo /fileUpload. La manipulación del argumento File permite una carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza una versión continua para garantizar una entrega continua. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de las versiones actualizadas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en YiJiuSmile kkFileViewOfficeEdit (CVE-2025-7628)
Fecha de publicación:
14/07/2025
Idioma:
Español
Se encontró una vulnerabilidad en YiJiuSmile kkFileViewOfficeEdit hasta 5fbc57c48e8fe6c1b91e0e7995e2d59615f37abd. Se ha clasificado como crítica. Afecta a la función deleteFile del archivo /deleteFile. La manipulación del argumento fileName provoca un path traversal. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza el enfoque de lanzamiento continuo para garantizar una distribución continua. Por lo tanto, no se dispone de información sobre las versiones afectadas ni sobre las actualizadas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/07/2025
Suscribirse a Vulnerabilidades