Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en DocugamiReader (CVE-2025-6211)
Fecha de publicación:
10/07/2025
Idioma:
Español
Una vulnerabilidad en la clase DocugamiReader del repositorio run-llama/llama_index, hasta la versión 0.12.28, implica el uso de hash MD5 para generar identificadores para fragmentos de documentos. Este enfoque provoca colisiones de hash cuando fragmentos estructuralmente distintos contienen texto idéntico, lo que provoca que un fragmento sobrescriba a otro. Esto puede provocar la pérdida de contenido semántico o legalmente importante del documento, la ruptura de las jerarquías de fragmentos padre-hijo y respuestas inexactas o alucinadas en las salidas de IA. El problema se ha resuelto en la versión 0.3.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/07/2025

Vulnerabilidad en Autodesk Revit (CVE-2025-5037)
Fecha de publicación:
10/07/2025
Idioma:
Español
Un archivo RFA manipulado con fines maliciosos, al analizarse mediante Autodesk Revit, puede generar una vulnerabilidad de corrupción de memoria. Un agente malicioso puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del proceso actual.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/08/2025

Vulnerabilidad en Autodesk Revit (CVE-2025-5040)
Fecha de publicación:
10/07/2025
Idioma:
Español
Un archivo RTE manipulado con fines maliciosos, al analizarse mediante Autodesk Revit, puede generar una vulnerabilidad de desbordamiento basado en montón. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/08/2025

Vulnerabilidad en GnuTLS (CVE-2025-32990)
Fecha de publicación:
10/07/2025
Idioma:
Español
Se detectó una falla de desbordamiento de búfer de pila (desviación de uno) en el software GnuTLS, en la lógica de análisis de plantillas de la utilidad certtool. Al leer ciertas configuraciones de un archivo de plantilla, permite a un atacante provocar una escritura fuera de los límites (OOB) en un puntero nulo, lo que resulta en corrupción de memoria y una denegación de servicio (DoS) que podría bloquear el sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2026

Vulnerabilidad en OpenText™ Directory Services (CVE-2024-7650)
Fecha de publicación:
10/07/2025
Idioma:
Español
La vulnerabilidad de control inadecuado de la generación de código ('Inyección de código') en OpenText™ Directory Services permite la inclusión remota de código. Esta vulnerabilidad podría permitir el acceso al sistema mediante la inyección de scripts. Este problema afecta a los Servicios de Directorio: 23.4.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en GitLab EE (CVE-2025-4972)
Fecha de publicación:
10/07/2025
Idioma:
Español
Se ha descubierto un problema en GitLab EE que afecta a todas las versiones desde la 18.0 anterior a la 18.0.4 y desde la 18.1 anterior a la 18.1.2 que podría haber permitido a usuarios autenticados con privilegios de invitación eludir las restricciones de invitación de usuarios a nivel de grupo manipulando la funcionalidad de invitación de grupo.
Gravedad CVSS v3.1: BAJA
Última modificación:
25/07/2025

Vulnerabilidad en GitLab EE (CVE-2025-6168)
Fecha de publicación:
10/07/2025
Idioma:
Español
Se ha descubierto un problema en GitLab EE que afecta a todas las versiones desde la 18.0 hasta la 18.0.4 y desde la 18.1 hasta la 18.1.2 que podría haber permitido a los mantenedores autenticados eludir las restricciones de invitación de usuarios a nivel de grupo mediante el envío de solicitudes de API manipuladas.
Gravedad CVSS v3.1: BAJA
Última modificación:
25/07/2025

Vulnerabilidad en GitLab CE/EE (CVE-2025-6948)
Fecha de publicación:
10/07/2025
Idioma:
Español
Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 17.11 anterior a la 17.11.6, la 18.0 anterior a la 18.0.4 y la 18.1 anterior a la 18.1.2 que, en determinadas condiciones, podría haber permitido a un atacante exitoso ejecutar acciones en nombre de los usuarios inyectando contenido malicioso.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/07/2025

Vulnerabilidad en Mitsubishi Electric Corporation (CVE-2025-5022)
Fecha de publicación:
10/07/2025
Idioma:
Español
La vulnerabilidad de requisitos de contraseña débiles en el monitor del sistema fotovoltaico “EcoGuideTAB” de Mitsubishi Electric Corporation (PV-DR004J y PV-DR004JA en todas sus versiones) permite a un atacante, dentro del rango de comunicación Wi-Fi entre las unidades del producto (unidad de medición y unidad de visualización), obtener la contraseña del SSID. Sin embargo, el producto no se ve afectado por esta vulnerabilidad si permanece sin uso durante un periodo determinado (predeterminado: 5 minutos) y entra en modo de ahorro de energía con la pantalla LCD apagada. Los productos afectados se discontinuaron en 2015 y el soporte técnico finalizó en 2020.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Mitsubishi Electric Corporation (CVE-2025-5023)
Fecha de publicación:
10/07/2025
Idioma:
Español
La vulnerabilidad de uso de credenciales codificadas en el monitor del sistema fotovoltaico “EcoGuideTAB” de Mitsubishi Electric Corporation (PV-DR004J y PV-DR004JA en todas sus versiones) permite a un atacante dentro del rango de comunicación Wi-Fi entre las unidades del producto (unidad de medición y unidad de visualización) divulgar información, como la energía generada y la electricidad vendida a la red eléctrica, almacenada en el producto, manipular o destruir información almacenada o configurada en el producto, o provocar una denegación de servicio (DoS) en el producto mediante el uso de un ID de usuario y una contraseña codificados, comunes a la serie del producto, obtenidos mediante la explotación de CVE-2025-5022. Sin embargo, el producto no se ve afectado por esta vulnerabilidad si permanece sin uso durante un período determinado (predeterminado: 5 minutos) y entra en modo de ahorro de energía con la pantalla LCD de la unidad de visualización apagada. Los productos afectados se discontinuaron en 2015 y el soporte técnico finalizó en 2020.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en GitLab EE (CVE-2025-3396)
Fecha de publicación:
10/07/2025
Idioma:
Español
Se ha descubierto un problema en GitLab EE que afecta a todas las versiones desde la 13.3 hasta la 17.11.6, la 18.0 hasta la 18.0.4 y la 18.1 hasta la 18.1.2 que podría haber permitido a los propietarios de proyectos autenticados eludir las restricciones de bifurcación a nivel de grupo manipulando las solicitudes de API.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/07/2025

Vulnerabilidad en kernel de Linux (CVE-2025-38343)
Fecha de publicación:
10/07/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mt76: mt7996: la eliminación de fragmentos con RA de multidifusión o difusión. La fragmentación IEEE 802.11 solo se puede aplicar a tramas de unidifusión. Por lo tanto, se deben eliminar fragmentos con RA de multidifusión o difusión. Este parche corrige vulnerabilidades como CVE-2020-26145.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/11/2025
Suscribirse a Vulnerabilidades