Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en EPay.bg Payments para WordPress (CVE-2025-7653)
Fecha de publicación:
19/07/2025
Idioma:
Español
El complemento EPay.bg Payments para WordPress es vulnerable a Cross-Site Scripting (XSS) Almacenado a través del shortcode "epay" en todas las versiones hasta la 0.1 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Live Stream Badger para WordPress (CVE-2025-7655)
Fecha de publicación:
19/07/2025
Idioma:
Español
El complemento Live Stream Badger para WordPress es vulnerable a Cross-Site Scripting (XSS) Almacenado a través del shortcode "livestream" del complemento en todas las versiones hasta la 1.4.3 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Temporarily Hidden Content para WordPress (CVE-2025-7658)
Fecha de publicación:
19/07/2025
Idioma:
Español
El complemento Temporarily Hidden Content para WordPress es vulnerable a Cross-Site Scripting (XSS) Almacenado a través del shortcode 'temphc-start' del complemento en todas las versiones hasta la 1.0.6 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en One Identity OneLogin (CVE-2025-52924)
Fecha de publicación:
19/07/2025
Idioma:
Español
En One Identity OneLogin anterior a 2025.2.0, el "application name" de la conexión SQL se establece en función del valor de un encabezado de solicitud HTTP X-RequestId no confiable.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en OpenSSL (CVE-2025-7394)
Fecha de publicación:
18/07/2025
Idioma:
Español
En la implementación de la capa de compatibilidad de OpenSSL, la función RAND_poll() no se comportaba como se esperaba, lo que podía generar valores predecibles de RAND_bytes() tras llamar a fork(). Esto puede generar números aleatorios débiles o predecibles en aplicaciones que usan RAND_bytes() y realizan operaciones fork(). Esto solo afecta a las aplicaciones que llaman explícitamente a RAND_bytes() después de fork() y no afecta a las operaciones internas de TLS. Aunque la documentación de RAND_bytes() en OpenSSL indica que no es seguro usarla con fork() sin llamar primero a RAND_poll(), también se realizó un cambio de código adicional en wolfSSL para que RAND_bytes() se comporte de forma similar a OpenSSL tras una llamada a fork() sin llamar a RAND_poll(). Ahora, el Hash-DRBG utilizado se resembraliza tras detectar la ejecución en un nuevo proceso. Si se utiliza RAND_bytes() y se llama a fork(), se recomienda actualizar a la última versión de wolfSSL. Gracias a Per Allansson de Appgate por el informe.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/12/2025

Vulnerabilidad en wolfSSL (CVE-2025-7396)
Fecha de publicación:
18/07/2025
Idioma:
Español
En la versión 5.8.2 de wolfSSL, la compatibilidad con el cegamiento está activada por defecto para Curve25519 en las compilaciones aplicables. La opción de configuración de cegamiento solo está disponible para la implementación básica de Curve25519 en C. No es necesaria ni está disponible con compilaciones de ensamblaje ARM, compilaciones de ensamblaje Intel ni con la función pequeña de Curve25519. Si bien el ataque de canal lateral para extraer una clave privada sería muy difícil de ejecutar en la práctica, habilitar el cegamiento proporciona una capa adicional de protección para dispositivos que podrían ser más susceptibles al acceso físico o a la observación de canal lateral.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

Vulnerabilidad en Node.js v24.0.0 (CVE-2025-27209)
Fecha de publicación:
18/07/2025
Idioma:
Español
La versión V8 utilizada en Node.js v24.0.0 ha cambiado la forma en que se calculan los hashes de cadenas mediante rapidhash. Esta implementación reintroduce la vulnerabilidad HashDoS, ya que un atacante que controle las cadenas a las que se aplicará el hash puede generar numerosas colisiones de hash; un atacante puede generar colisiones incluso sin conocer la semilla del hash. * Esta vulnerabilidad afecta a los usuarios de Node.js v24.x.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Node.js (CVE-2025-27210)
Fecha de publicación:
18/07/2025
Idioma:
Español
Se ha identificado una solución incompleta para CVE-2025-23084 en Node.js, que afecta específicamente a nombres de dispositivos Windows como CON, PRN y AUX. Esta vulnerabilidad afecta a los usuarios de Windows de la API `path.join`.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en wolfSSL (CVE-2025-7395)
Fecha de publicación:
18/07/2025
Idioma:
Español
Un error de verificación de certificado en wolfSSL al compilar con las opciones WOLFSSL_SYS_CA_CERTS y WOLFSSL_APPLE_NATIVE_CERT_VALIDATION da como resultado que el cliente wolfSSL no verifique correctamente el nombre de dominio del certificado del servidor, lo que permite que se acepte cualquier certificado emitido por una CA confiable independientemente del nombre de host.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en code-projects Food Ordering Review System 1.0 (CVE-2025-7814)
Fecha de publicación:
18/07/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como crítica en code-projects Food Ordering Review System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /pages/signup_function.php. La manipulación del argumento "fname" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/04/2026

Vulnerabilidad en StudentManage v1.0 (CVE-2025-50583)
Fecha de publicación:
18/07/2025
Idioma:
Español
Se descubrió que StudentManage v1.0 contenía una vulnerabilidad de Cross-Site Scripting (XSS) a través del módulo Agregar un nuevo estudiante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/09/2025

Vulnerabilidad en Tenda FH451 1.0.0.9 (CVE-2025-7806)
Fecha de publicación:
18/07/2025
Idioma:
Español
Se detectó una vulnerabilidad crítica en Tenda FH451 1.0.0.9. Esta vulnerabilidad afecta la función fromSafeClientFilter del archivo /goform/SafeClientFilter. La manipulación del argumento Go/page provoca un desbordamiento del búfer en la pila. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/07/2025
Suscribirse a Vulnerabilidades