Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IDENTIFICADOR NO VÁLIDO (CVE-2025-49793)
Fecha de publicación:
11/06/2025
Idioma:
Español
Razón rechazado: no se usa
Gravedad: Pendiente de análisis
Última modificación:
11/06/2025

Vulnerabilidad en Pentraze (CVE-2024-1244)
Fecha de publicación:
11/06/2025
Idioma:
Español
La validación de entrada incorrecta en el agente HIDS de OSSEC para Windows (versión anterior a la 3.8.0) permite a un atacante con control sobre el servidor OSSEC o en posesión de la clave del agente configurarlo para que se conecte a una ruta UNC maliciosa. Esto provoca la filtración del hash NetNTLMv2 de la cuenta de la máquina, que puede retransmitirse para la ejecución remota de código o utilizarse para escalar privilegios al SYSTEM mediante la falsificación de certificados de AD CS y otros ataques similares.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/06/2025

Vulnerabilidad en Pentraze (CVE-2024-1243)
Fecha de publicación:
11/06/2025
Idioma:
Español
La validación de entrada incorrecta en el agente de Wazuh para Windows anterior a la versión 4.8.0 permite que un atacante con control sobre el servidor o la clave del agente de Wazuh configure el agente para conectarse a una ruta UNC maliciosa. Esto provoca la filtración del hash NetNTLMv2 de la cuenta de la máquina, que puede retransmitirse para la ejecución remota de código o utilizarse para escalar privilegios al SYSTEM mediante la falsificación de certificados de AD CS y otros ataques similares.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/06/2025

Vulnerabilidad en Google Chrome (CVE-2025-5959)
Fecha de publicación:
11/06/2025
Idioma:
Español
La confusión de tipos en la versión 8 de Google Chrome anterior a la versión 137.0.7151.103 permitía a un atacante remoto ejecutar código arbitrario dentro de un entorno de pruebas mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
16/06/2025

Vulnerabilidad en Insyde (CVE-2025-4275)
Fecha de publicación:
11/06/2025
Idioma:
Español
Al ejecutar la utilidad proporcionada, se cambia el certificado en cualquier BIOS Insyde y luego se puede iniciar el archivo .efi adjunto.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en Google Chrome (CVE-2025-5958)
Fecha de publicación:
11/06/2025
Idioma:
Español
Use After Free en Multimedia en Google Chrome anterior a la versión 137.0.7151.103 permitía a un atacante remoto explotar la corrupción del montón mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
16/06/2025

Vulnerabilidad en KDE Konsole (CVE-2025-49091)
Fecha de publicación:
11/06/2025
Idioma:
Español
KDE Konsole anterior a la versión 25.04.2 permite la ejecución remota de código en ciertos escenarios. Admite la carga de URL desde los controladores de esquema, como ssh://, telnet:// o rlogin://. Esto se puede ejecutar independientemente de si el binario ssh, telnet o rlogin está disponible. En este modo, existe una ruta de código donde, si ese binario no está disponible, Konsole recurre a /bin/bash para los argumentos proporcionados (es decir, la URL). Esto permite a un atacante ejecutar código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/06/2025

Vulnerabilidad en Microsoft Corporation (CVE-2025-32717)
Fecha de publicación:
11/06/2025
Idioma:
Español
El desbordamiento del búfer basado en montón en Microsoft Office Word permite que un atacante no autorizado ejecute código localmente.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2025

Vulnerabilidad en Archify (CVE-2024-9062)
Fecha de publicación:
11/06/2025
Idioma:
Español
La aplicación Archify contiene una vulnerabilidad de escalada de privilegios local debido a una validación insuficiente del cliente en su herramienta auxiliar privilegiada, com.oct4pie.archifyhelper, expuesta mediante XPC. Archify sigue el modelo de "aplicaciones factorizadas", delegando operaciones privilegiadas (como la eliminación arbitraria de archivos y la modificación de permisos) a esta herramienta auxiliar que se ejecuta como root. Sin embargo, esta herramienta no verifica la firma del código, los derechos ni los indicadores de firma del cliente que se conecta. Aunque macOS ofrece mecanismos de validación seguros como auditToken, estos no están implementados. Como resultado, cualquier proceso local puede establecer una conexión con la herramienta auxiliar e invocar funciones privilegiadas, lo que provoca la ejecución no autorizada de acciones con privilegios de root.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en K7RKScan.sys (CVE-2025-1055)
Fecha de publicación:
11/06/2025
Idioma:
Español
Una vulnerabilidad en el controlador K7RKScan.sys, parte de la suite antimalware K7 Security, permite a un usuario local con pocos privilegios enviar solicitudes IOCTL manipuladas para finalizar una amplia gama de procesos que se ejecutan con privilegios administrativos o de sistema, excepto aquellos protegidos inherentemente por el sistema operativo. Esta falla se debe a la falta de control de acceso en el controlador IOCTL del controlador, lo que permite a usuarios sin privilegios realizar acciones privilegiadas en el espacio del kernel. Una explotación exitosa puede provocar una denegación de servicio al interrumpir servicios críticos o aplicaciones privilegiadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en Apache CloudStack (CVE-2025-30675)
Fecha de publicación:
11/06/2025
Idioma:
Español
En Apache CloudStack, una falla en el control de acceso afecta a las API listTemplates y listIsos. Un administrador de dominio o de recursos malintencionado puede explotar este problema especificando intencionadamente el parámetro "domainid" junto con los valores "filter=self" o "filter=selfexecutable". Esto permite al atacante obtener acceso no autorizado a plantillas e ISOs del dominio ROOT. Un administrador malintencionado puede enumerar y extraer metadatos de plantillas e ISOs pertenecientes a dominios no relacionados, violando los límites de aislamiento y exponiendo potencialmente detalles confidenciales o de configuración interna. Esta vulnerabilidad se ha corregido garantizando que la resolución del dominio se ajuste estrictamente al alcance del llamante, en lugar de usar el dominio ROOT por defecto. Se recomienda a los usuarios afectados actualizar a Apache CloudStack 4.19.3.0 o 4.20.1.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2025

Vulnerabilidad en ws.stash.app.mac.daemon.helper (CVE-2024-7457)
Fecha de publicación:
11/06/2025
Idioma:
Español
La herramienta ws.stash.app.mac.daemon.helper contiene una vulnerabilidad causada por un uso incorrecto del modelo de autorización de macOS. En lugar de validar la referencia de autorización del cliente, el asistente invoca AuthorizationCopyRights() utilizando su propio contexto privilegiado (root), autorizándose a sí mismo en lugar del cliente. Como resultado, otorga el derecho system.preferences.admin internamente, independientemente de los privilegios del cliente solicitante. Esta lógica errónea permite a los clientes sin privilegios invocar operaciones privilegiadas mediante XPC, incluyendo cambios no autorizados en las preferencias de red de todo el sistema, como la configuración de proxy SOCKS, HTTP y HTTPS. La ausencia de comprobaciones adecuadas de firma de código permite además que procesos arbitrarios exploten esta vulnerabilidad, lo que provoca ataques de intermediario (MITM) mediante la redirección del tráfico.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025
Suscribirse a Vulnerabilidades