Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Coolify (CVE-2025-34159)
Fecha de publicación:
27/08/2025
Idioma:
Español
Las versiones de Coolify anteriores a la v4.0.0-beta.420.6 son vulnerables a una vulnerabilidad de ejecución remota de código en el flujo de trabajo de implementación de aplicaciones. La plataforma permite a usuarios autenticados, con privilegios de miembro de bajo nivel, inyectar directivas arbitrarias de Docker Compose durante la creación del proyecto. Al manipular una definición de servicio maliciosa que monta el sistema de archivos raíz del host, un atacante puede obtener acceso root completo al servidor subyacente.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
19/09/2025

Vulnerabilidad en Coolify (CVE-2025-34161)
Fecha de publicación:
27/08/2025
Idioma:
Español
Las versiones de Coolify anteriores a la v4.0.0-beta.420.7 son vulnerables a una vulnerabilidad de ejecución remota de código en el flujo de trabajo de implementación del proyecto. La plataforma permite a usuarios autenticados, con privilegios de miembro de bajo nivel, inyectar comandos de shell arbitrarios a través del campo Repositorio de Git durante la creación del proyecto. Al enviar una cadena de repositorio manipulada con sintaxis de inyección de comandos, un atacante puede ejecutar comandos arbitrarios en el sistema host subyacente, lo que resulta en una vulnerabilidad completa del servidor.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
19/09/2025

Vulnerabilidad en Cisco Nexus Dashboard y Cisco Nexus Dashboard Fabric Controller (CVE-2025-20348)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en los endpoints de la API REST de Cisco Nexus Dashboard y Cisco Nexus Dashboard Fabric Controller (NDFC) podría permitir que un atacante remoto autenticado y con pocos privilegios acceda a información confidencial o cargue y modifique archivos en un dispositivo afectado. Esta vulnerabilidad se debe a la falta de controles de autorización en algunos endpoints de la API REST. Un atacante podría explotar esta vulnerabilidad enviando solicitudes de API manipuladas a un endpoint afectado. Una explotación exitosa podría permitir al atacante realizar funciones limitadas de administrador, como acceder a información confidencial sobre las configuraciones de proxy HTTP y NTP, cargar imágenes y dañar archivos de imagen en un dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2025

Vulnerabilidad en Coolify (CVE-2025-34157)
Fecha de publicación:
27/08/2025
Idioma:
Español
Las versiones de Coolify anteriores a la v4.0.0-beta.420.6 son vulnerables a un ataque de Cross Site Scripting (XSS) almacenado durante el flujo de trabajo de creación de proyectos. Un usuario autenticado con privilegios bajos puede manipular un proyecto con un nombre malicioso que contenga JavaScript incrustado. Cuando un administrador intenta eliminar el proyecto o su recurso asociado, la payload se ejecuta en el contexto del navegador del administrador. Esto compromete por completo la instancia de Coolify, incluyendo el robo de tokens de API, cookies de sesión y acceso a sesiones de terminal basadas en WebSockets en servidores administrados.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
19/09/2025

Vulnerabilidad en Cisco Nexus Dashboard (CVE-2025-20344)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la función de restauración de copias de seguridad de Cisco Nexus Dashboard podría permitir que un atacante remoto autenticado realice un ataque de path traversal en un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente del contenido de un archivo de copia de seguridad. Un atacante con credenciales de administrador válidas podría explotar esta vulnerabilidad restaurando un archivo de copia de seguridad manipulado en un dispositivo afectado. Una explotación exitosa podría permitir al atacante obtener privilegios de root en el shell subyacente del dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2025

Vulnerabilidad en Cisco Nexus Dashboard y Cisco Nexus Dashboard Fabric Controller (CVE-2025-20347)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en los endpoints de la API REST de Cisco Nexus Dashboard y Cisco Nexus Dashboard Fabric Controller (NDFC) podría permitir que un atacante remoto autenticado y con pocos privilegios acceda a información confidencial o cargue y modifique archivos en un dispositivo afectado. Esta vulnerabilidad se debe a la falta de controles de autorización en algunos endpoints de la API REST. Un atacante podría explotar esta vulnerabilidad enviando solicitudes de API manipuladas a un endpoint afectado. Una explotación exitosa podría permitir al atacante realizar funciones limitadas de administrador, como acceder a información confidencial sobre las configuraciones de proxy HTTP y NTP, cargar imágenes y dañar archivos de imagen en un dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2025

Vulnerabilidad en Virtual Keyboard Video Monitor (CVE-2025-20317)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la gestión de la conexión de Virtual Keyboard Video Monitor (vKVM) de Cisco Integrated Management Controller (IMC) podría permitir que un atacante remoto no autenticado redirija a un usuario a un sitio web malicioso. Esta vulnerabilidad se debe a una verificación insuficiente de los endpoints vKVM. Un atacante podría explotar esta vulnerabilidad persuadiendo al usuario a hacer clic en un enlace manipulado. Una explotación exitosa podría permitirle redirigir a un usuario a una página web maliciosa y, potencialmente, obtener sus credenciales. Nota: El cliente vKVM afectado también está incluido en Cisco UCS Manager.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Virtual Keyboard Video Monitor (CVE-2025-20342)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la gestión de la conexión de Virtual Keyboard Video Monitor (vKVM) de Cisco Integrated Management Controller (IMC) podría permitir que un atacante remoto autenticado con privilegios bajos realice un ataque de cross-site scripting (XSS) almacenado contra un usuario de la interfaz. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por la interfaz de administración web de un sistema afectado. Un atacante podría explotar esta vulnerabilidad inyectando código malicioso en un campo de datos específico de la interfaz. Una explotación exitosa podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial del navegador. Para explotar esta vulnerabilidad, el atacante debe tener credenciales de usuario válidas con privilegios que permitan el acceso a vKVM en el dispositivo afectado. Nota: El cliente vKVM afectado también está incluido en Cisco UCS Manager.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Cisco NX-OS (CVE-2025-20290)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la función de registro del software Cisco NX-OS para los switches Cisco Nexus de la serie 3000, los switches Cisco Nexus de la serie 9000 en modo NX-OS independiente, las interconexiones de red Cisco UCS 6400, Cisco UCS 6500 y Cisco UCS 9108 de 100 G podría permitir que un atacante local autenticado acceda a información confidencial. Esta vulnerabilidad se debe al registro incorrecto de información confidencial. Un atacante podría explotar esta vulnerabilidad accediendo a los archivos de registro en el sistema de archivos donde se almacenan. Una explotación exitosa podría permitir al atacante acceder a información confidencial, como las credenciales almacenadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Cisco NX-OS (CVE-2025-20292)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la CLI del software Cisco NX-OS podría permitir que un atacante local autenticado ejecute un ataque de inyección de comandos en el sistema operativo subyacente de un dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debe tener credenciales de usuario válidas en el dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad introduciendo una entrada manipulada como argumento de un comando CLI afectado. Una explotación exitosa podría permitir al atacante leer y escribir archivos en el sistema operativo subyacente con los privilegios de una cuenta de usuario no root. El acceso al sistema de archivos está limitado a los permisos otorgados a dicha cuenta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Cisco UCS Manager (CVE-2025-20294)
Fecha de publicación:
27/08/2025
Idioma:
Español
Varias vulnerabilidades en la CLI y la interfaz de administración web del software Cisco UCS Manager podrían permitir que un atacante remoto autenticado con privilegios administrativos realice ataques de inyección de comandos en un sistema afectado y ascienda a privilegios de root. Estas vulnerabilidades se deben a una validación insuficiente de los argumentos de los comandos proporcionados por el usuario. Un atacante podría explotar estas vulnerabilidades autenticándose en un dispositivo y enviando una entrada manipulada a los comandos afectados. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente del dispositivo afectado con privilegios de root.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Cisco UCS Manager (CVE-2025-20295)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la CLI del software Cisco UCS Manager podría permitir que un atacante local autenticado con privilegios administrativos lea o cree un archivo, o sobrescriba cualquier archivo, del sistema operativo subyacente de un dispositivo afectado, incluyendo archivos de sistema. Esta vulnerabilidad se debe a una validación insuficiente de los argumentos de comando proporcionados por el usuario. Un atacante podría explotar esta vulnerabilidad autenticándose en un dispositivo y enviando una entrada manipulada al comando afectado. Una explotación exitosa podría permitir al atacante leer o crear un archivo, o sobrescribir cualquier archivo, del sistema operativo subyacente del dispositivo afectado, incluyendo archivos de sistema. Para explotar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas en el dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades