Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2025-20248

Fecha de publicación:

10/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability in the installation process of Cisco IOS XR Software could allow an authenticated, local attacker to bypass Cisco IOS XR Software image signature verification and load unsigned software on an affected device. To exploit this vulnerability, the attacker must have root-system privileges on the affected device. This vulnerability is due to incomplete validation of files during the installation of an .iso file. An attacker could exploit this vulnerability by modifying contents of the .iso image and then installing and activating it on the device. A successful exploit could allow the attacker to load an unsigned file as part of the image activation process.

Gravedad CVSS v3.1: MEDIA

Última modificación:

15/04/2026

CVE-2025-20340

Fecha de publicación:

10/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability in the Address Resolution Protocol (ARP) implementation of Cisco IOS XR Software could allow an unauthenticated, adjacent attacker to trigger a broadcast storm, leading to a denial of service (DoS) condition on an affected device.&nbsp; This vulnerability is due to how Cisco IOS XR Software processes a high, sustained rate of ARP traffic hitting the management interface. Under certain conditions, an attacker could exploit this vulnerability by sending an excessive amount of traffic to the management interface of an affected device, overwhelming its ARP processing capabilities. A successful exploit could result in degraded device performance, loss of management connectivity, and complete unresponsiveness of the system, leading to a DoS condition.

Gravedad CVSS v3.1: ALTA

Última modificación:

15/04/2026

CVE-2025-20159

Fecha de publicación:

10/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability in the management interface access control list (ACL) processing feature in Cisco IOS XR Software could allow an unauthenticated, remote attacker to bypass configured ACLs for the SSH, NetConf, and gRPC features. This vulnerability exists because management interface ACLs have not been supported on Cisco IOS XR Software Packet I/O infrastructure platforms for Linux-handled features such as SSH, NetConf, or gRPC. An attacker could exploit this vulnerability by attempting to send traffic to an affected device. A successful exploit could allow the attacker to bypass an ingress ACL that is applied on the management interface of the affected device.

Gravedad CVSS v3.1: MEDIA

Última modificación:

15/04/2026

Vulnerabilidad en Dietly (CVE-2025-56466)

Fecha de publicación:

10/09/2025

Idioma:

Español

Credenciales codificadas en Dietly v1.25.0 para Android permiten a los atacantes obtener información sensible.

Gravedad CVSS v3.1: ALTA

Última modificación:

06/10/2025

Vulnerabilidad en RTSPtoWeb (CVE-2025-56578)

Fecha de publicación:

10/09/2025

Idioma:

Español

Un problema en RTSPtoWeb v.2.4.3 permite a un atacante remoto obtener información sensible y ejecutar código arbitrario debido a la falta de mecanismos de autenticación.

Gravedad CVSS v3.1: MEDIA

Última modificación:

15/04/2026

Vulnerabilidad en MariaDB MCP (CVE-2025-56404)

Fecha de publicación:

10/09/2025

Idioma:

Español

Se descubrió un problema en MariaDB MCP 0.1.0, permitiendo a los atacantes obtener información sensible a través del servicio SSE, ya que el servicio SSE carece de validación de usuario.

Gravedad CVSS v3.1: ALTA

Última modificación:

17/09/2025

Vulnerabilidad en litmusautomation litmus-mcp-server (CVE-2025-56405)

Fecha de publicación:

10/09/2025

Idioma:

Español

Se descubrió un problema en litmusautomation litmus-mcp-servidor hasta 0.0.1, permitiendo a atacantes no autorizados controlar el servicio MCP del objetivo a través del protocolo SSE.

Gravedad CVSS v3.1: ALTA

Última modificación:

17/09/2025

Vulnerabilidad en HuangDou UTCMS (CVE-2025-56407)

Fecha de publicación:

10/09/2025

Idioma:

Español

Se ha encontrado una vulnerabilidad en HuangDou UTCMS V9 y ha sido clasificada como crítica. Esta vulnerabilidad afecta a la función RunSql del archivo app/modules/ut-data/admin/mysql.php. La manipulación del argumento sql conduce a una inyección SQL. El ataque puede iniciarse remotamente. El exploit se ha divulgado al público y puede usarse.

Gravedad CVSS v3.1: ALTA

Última modificación:

06/10/2025

Vulnerabilidad en 1panel operatessh (CVE-2025-56413)

Fecha de publicación:

10/09/2025

Idioma:

Español

Vulnerabilidad de inyección de comandos del sistema operativo en la función OperateSSH en 1panel 2.0.8 que permite a los atacantes ejecutar comandos arbitrarios a través del parámetro operation al endpoint /api/v2/hosts/ssh/operate.

Gravedad CVSS v3.1: ALTA

Última modificación:

18/11/2025

Vulnerabilidad en mcp-neo4j (CVE-2025-56406)

Fecha de publicación:

10/09/2025

Idioma:

Español

Se descubrió un problema en mcp-neo4j 0.3.0 que permite a los atacantes obtener información sensible o ejecutar comandos arbitrarios a través del servicio SSE. NOTA: la postura del proveedor es que la autenticación no es obligatoria para los servidores MCP, y el servidor MCP mcp-neo4j está destinado únicamente para su uso en un entorno local donde la autenticación de forma realista no sería necesaria. Además, el proveedor proporciona middleware para ayudar a aislar el servidor MCP del acceso externo (si es necesario).

Gravedad CVSS v3.1: ALTA

Última modificación:

15/04/2026

CVE-2025-10231

Fecha de publicación:

10/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** An Incorrect File Handling Permission bug exists on the N-central Windows Agent and Probe that, in the right circumstances, can allow a local low-level user to run commands with elevated permissions.

Gravedad CVSS v3.1: ALTA

Última modificación:

22/09/2025

CVE-2025-7718

Fecha de publicación:

10/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** The Resideo Plugin for Resideo - Real Estate WordPress Theme plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions up to, and including, 2.5.4. This is due to the plugin not properly validating a user&#39;s identity prior to updating their details like email. This makes it possible for authenticated attackers, with Subscriber-level access and above, to change arbitrary user&#39;s email addresses, including administrators, and leverage that to reset the user&#39;s password and gain access to their account.

Gravedad CVSS v3.1: ALTA

Última modificación:

15/04/2026

Suscribirse a Vulnerabilidades