Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en HCL Digital Experience (CVE-2025-31988)
Fecha de publicación:
19/08/2025
Idioma:
Español
HCL Digital Experience es susceptible a cross site scripting (XSS) en una interfaz de usuario administrativa con acceso restringido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/08/2025

Vulnerabilidad en AllSky v2023.05.01_04 (CVE-2024-44373)
Fecha de publicación:
19/08/2025
Idioma:
Español
Una vulnerabilidad de path traversal en AllSky v2023.05.01_04 permite a un atacante no autenticado crear un shell web y ejecutar código remoto a través del parámetro path, content en /includes/save_file.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en LiuYuYang01 ThriveX-Blog (CVE-2025-9151)
Fecha de publicación:
19/08/2025
Idioma:
Español
Se ha descubierto una falla de seguridad en LiuYuYang01 ThriveX-Blog hasta la versión 3.1.7. Esta vulnerabilidad afecta a la función updateJsonValueByName del archivo /web_config/json/name/web. La manipulación da como resultado una autorización incorrecta. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta vulnerabilidad, pero no respondió.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en IDENTIFICADOR NO VÁLIDO (CVE-2025-55153)
Fecha de publicación:
19/08/2025
Idioma:
Español
Razón rechazado: este CVE es un duplicado de otro CVE.
Gravedad: Pendiente de análisis
Última modificación:
19/08/2025

Vulnerabilidad en screenshot-desktop (CVE-2025-55294)
Fecha de publicación:
19/08/2025
Idioma:
Español
screenshot-desktop permite capturar una captura de pantalla de su equipo local. Esta vulnerabilidad se debe a un problema de inyección de comandos. Cuando se pasa una entrada controlada por el usuario a la opción de formato de la función de captura de pantalla, esta se interpola en un comando de shell sin depurar. Esto provoca la ejecución arbitraria de comandos con los privilegios del proceso que los invocó. Esta vulnerabilidad se corrigió en la versión 1.15.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en qBit Manage (CVE-2025-55295)
Fecha de publicación:
19/08/2025
Idioma:
Español
qBit Manage es una herramienta que ayuda a gestionar tareas tediosas en qBittorrent y automatizarlas. Existe una vulnerabilidad de path traversal en la API web de qbit_manage que permite a los usuarios autenticados leer archivos arbitrarios del sistema de archivos del servidor a través del endpoint restore_config_from_backup. Esta vulnerabilidad permite a los atacantes eludir las restricciones de directorio y leer archivos arbitrarios del sistema de archivos del servidor manipulando el parámetro backup_id con secuencias de path traversal (p. ej., ../). Esta vulnerabilidad se corrigió en la versión 4.5.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en FileCatalyst de Fortra (CVE-2025-8450)
Fecha de publicación:
19/08/2025
Idioma:
Español
Un problema de control de acceso inadecuado en el componente de flujo de trabajo de FileCatalyst de Fortra permite que usuarios no autenticados carguen archivos arbitrarios a través de la página de formularios de pedido.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Wavlink WL-NU516U1 M16U1_V240425 (CVE-2025-9149)
Fecha de publicación:
19/08/2025
Idioma:
Español
Se detectó una vulnerabilidad en Wavlink WL-NU516U1 M16U1_V240425. Esta afecta a la función sub_4032E4 del archivo /cgi-bin/wireless.cgi. Esta manipulación del argumento Guest_ssid provoca la inyección de comandos. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Surbowl dormitory-management-php (CVE-2025-9150)
Fecha de publicación:
19/08/2025
Idioma:
Español
Se identificó una vulnerabilidad en Surbowl dormitory-management-php hasta 9f1d9d1f528cabffc66fda3652c56ff327fda317. Se ve afectada una función desconocida del archivo /admin/violation_add.php?id=2. Esta manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza un sistema de lanzamiento continuo, por lo que no se divulga la información de las versiones afectadas o actualizadas. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en Mermaid (CVE-2025-54880)
Fecha de publicación:
19/08/2025
Idioma:
Español
Mermaid es una herramienta de diagramación y gráficos basada en JavaScript que utiliza definiciones de texto inspiradas en Markdown y un renderizador para crear y modificar diagramas complejos. En la configuración predeterminada de Mermaid 11.9.0 y versiones anteriores, la información proporcionada por el usuario para los iconos de los diagramas de arquitectura se pasa al método html() de d3, lo que crea un receptor para cross site scripting. Esta vulnerabilidad se corrigió en la versión 11.10.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/10/2025

Vulnerabilidad en Mermaid (CVE-2025-54881)
Fecha de publicación:
19/08/2025
Idioma:
Español
Mermaid es una herramienta de diagramación y gráficos basada en JavaScript que utiliza definiciones de texto inspiradas en Markdown y un renderizador para crear y modificar diagramas complejos. En la configuración predeterminada de Mermaid 10.9.0-rc.1 a 11.9.0, la información proporcionada por el usuario para las etiquetas de los diagramas de secuencia se pasa a innerHTML durante el cálculo del tamaño del elemento, lo que provoca un error XSS.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en jasonclark getsemantic (CVE-2025-9147)
Fecha de publicación:
19/08/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad en jasonclark getsemantic hasta 040c96eb8cf9947488bd01b8de99b607b0519f7d. El elemento afectado es una función desconocida del archivo /index.php. La manipulación del argumento view provoca cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto sigue un enfoque de lanzamiento continuo, por lo que no se proporcionan detalles de las versiones afectadas o actualizadas. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026
Suscribirse a Vulnerabilidades