Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Go Project (CVE-2025-0913)
Fecha de publicación:
11/06/2025
Idioma:
Español
os.OpenFile(path, os.O_CREATE|O_EXCL) se comportaba de forma diferente en sistemas Unix y Windows cuando la ruta de destino era un enlace simbólico pendiente. En sistemas Unix, OpenFile con los indicadores O_CREATE y O_EXCL nunca sigue enlaces simbólicos. En Windows, cuando la ruta de destino era un enlace simbólico a una ubicación inexistente, OpenFile creaba un archivo en esa ubicación. OpenFile ahora siempre devuelve un error cuando los indicadores O_CREATE y O_EXCL están activados y la ruta de destino es un enlace simbólico.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2025

Vulnerabilidad en IBM Cognos Analytics (CVE-2025-0917)
Fecha de publicación:
11/06/2025
Idioma:
Español
IBM Cognos Analytics 11.2.0, 11.2.1, 11.2.2, 11.2.3, 11.2.4, 12.0.0, 12.0.1, 12.0.2, 12.0.3 y 12.0.4 es vulnerable a cross-site scripting almacenado. Esta vulnerabilidad permite a un usuario con privilegios incrustar código JavaScript arbitrario en la interfaz web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales en una sesión de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2025

Vulnerabilidad en IBM Cognos Analytics (CVE-2025-0923)
Fecha de publicación:
11/06/2025
Idioma:
Español
IBM Cognos Analytics 11.2.0, 11.2.1, 11.2.2, 11.2.3, 11.2.4, 12.0.0, 12.0.1, 12.0.2, 12.0.3 y 12.0.4 almacenan código fuente en el servidor web que podría contribuir a futuros ataques contra el sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2025

Vulnerabilidad en VirtueMart (CVE-2025-6001)
Fecha de publicación:
11/06/2025
Idioma:
Español
Existe una vulnerabilidad de Cross-Site Request Forgery (CSRF) en la función de carga de imágenes de productos de VirtueMart que omite el token de protección CSRF. Un atacante puede manipular una solicitud CSRF especial que permite la carga sin restricciones de archivos en el administrador de medios de VirtueMart.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en VirtueMart (CVE-2025-6002)
Fecha de publicación:
11/06/2025
Idioma:
Español
Existe una vulnerabilidad de carga de archivos sin restricciones en la sección Imagen de Producto del backend de VirtueMart. Los atacantes autenticados pueden cargar archivos con extensiones arbitrarias, incluyendo archivos ejecutables o maliciosos, lo que podría provocar la ejecución remota de código u otros problemas de seguridad según la configuración del servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Go Project (CVE-2025-22874)
Fecha de publicación:
11/06/2025
Idioma:
Español
Al llamar a Verify con un VerifyOptions.KeyUsages que contiene ExtKeyUsageAny, se deshabilitó involuntariamente la validación de políticas. Esto solo afectó a las cadenas de certificados que contienen gráficos de políticas, lo cual es poco común.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Mojolicious::Plugin::CSRF 1.03 para Perl (CVE-2025-40915)
Fecha de publicación:
11/06/2025
Idioma:
Español
Mojolicious::Plugin::CSRF 1.03 para Perl utiliza una fuente de números aleatorios débil para generar tokens CSRF. Esta versión del módulo genera tokens como un MD5 del ID del proceso, la hora actual y una única llamada a la función integrada rand().
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Go Project (CVE-2025-4673)
Fecha de publicación:
11/06/2025
Idioma:
Español
Los encabezados Proxy-Authorization y Proxy-Authenticate persistieron en redirecciones de origen cruzado, lo que potencialmente filtró información confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Lenovo Group Ltd. (CVE-2025-1698)
Fecha de publicación:
11/06/2025
Idioma:
Español
Se informaron vulnerabilidades de excepción de puntero nulo en el servicio de sensor de huellas dactilares que podrían permitir que un atacante local provoque una denegación de servicio.
Gravedad CVSS v4.0: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en MotoSignature (CVE-2025-1699)
Fecha de publicación:
11/06/2025
Idioma:
Español
Se informó de una vulnerabilidad de permisos predeterminados incorrectos en la aplicación MotoSignature que podría resultar en acceso no autorizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en iSTAR Configuration Utility (CVE-2025-26383)
Fecha de publicación:
11/06/2025
Idioma:
Español
La herramienta iSTAR Configuration Utility (ICU) pierde memoria, lo que podría provocar la exposición no intencionada de datos no autorizados de la PC con Windows en la que se ejecuta ICU.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en ClipShare (CVE-2025-49148)
Fecha de publicación:
11/06/2025
Idioma:
Español
ClipShare es una herramienta ligera y multiplataforma para compartir el portapapeles. Antes de la versión 3.8.5, ClipShare Server para Windows utilizaba el orden de búsqueda predeterminado de DLL de Windows y cargaba librerías del sistema como CRYPTBASE.dll y WindowsCodecs.dll desde su propio directorio antes de la ruta del sistema. Un usuario local sin privilegios que pudiera escribir en la carpeta que contiene clip_share.exe podría colocar allí DLL maliciosas, lo que provocaría la ejecución de código arbitrario en el contexto del servidor y, si la ejecutaba un administrador (u otro usuario con privilegios elevados), provocaría una escalada de privilegios local fiable. Esta vulnerabilidad se corrigió en la versión 3.8.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades