Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Slack de Anthropic (CVE-2025-34072)
Fecha de publicación:
02/07/2025
Idioma:
Español
Existe una vulnerabilidad de exfiltración de datos en el servidor obsoleto del Protocolo de Contexto de Modelo (MCP) de Slack de Anthropic mediante el despliegue automático de enlaces. Cuando un agente de IA que utiliza el servidor MCP de Slack procesa datos no confiables, estos pueden manipularse para generar mensajes con hipervínculos manipulados por el atacante que integran datos confidenciales. Los bots de previsualización de enlaces de Slack (p. ej., Slack-LinkExpanding, Slackbot, Slack-ImgProxy) emiten solicitudes salientes a la URL controlada por el atacante, lo que resulta en la exfiltración de datos privados sin necesidad de hacer clic.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en stamparm/maltrail (Maltrail) (CVE-2025-34073)
Fecha de publicación:
02/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección de comandos no autenticados en las versiones anteriores a la 0.54 de stamparm/maltrail (Maltrail). Un atacante remoto puede ejecutar comandos arbitrarios del sistema operativo mediante el parámetro "nombre de usuario" en una solicitud POST al endpoint /login. Esto se debe a un manejo inseguro de la entrada proporcionada por el usuario y pasada a subprocess.check_output() en core/http.py, lo que permite la inyección de metacaracteres de shell. La explotación no requiere autenticación y los comandos se ejecutan con los privilegios del proceso Maltrail.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Infinera G42 (CVE-2025-27026)
Fecha de publicación:
02/07/2025
Idioma:
Español
La ausencia de una función de doble verificación en la interfaz web para la desactivación de la CLI en Infinera G42 versión R6.1.3 permite a un administrador autenticado desactivar otras interfaces de administración a través de interfaces locales y de red. La desactivación de la CLI mediante la interfaz web no solo detiene la interfaz, sino que también desactiva el acceso a Linux Shell, la interfaz web y la consola serie física. No se solicita confirmación al desactivarla. Al perder el acceso a estos servicios, los administradores de dispositivos corren el riesgo de perder completamente el control del dispositivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en Apache APISIX (CVE-2025-46647)
Fecha de publicación:
02/07/2025
Idioma:
Español
Una vulnerabilidad del complemento openid-connect en Apache APISIX. Esta vulnerabilidad solo tendrá impacto si se cumplen todas las siguientes condiciones: 1. Usar el complemento openid-connect con modo de introspección. 2. El servicio de autenticación conectado a openid-connect presta servicios a múltiples emisores. 3. Varios emisores comparten la misma clave privada y dependen únicamente de que el emisor sea diferente. Si se ve afectado por esta vulnerabilidad, un atacante con una cuenta válida en uno de los emisores podría iniciar sesión en el otro. Este problema afecta a Apache APISIX hasta la versión 3.12.0. Se recomienda a los usuarios actualizar a la versión 3.12.0 o superior.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Apache Guacamole 1.5.5 (CVE-2024-35164)
Fecha de publicación:
02/07/2025
Idioma:
Español
El emulador de terminal de Apache Guacamole 1.5.5 y versiones anteriores no valida correctamente los códigos de consola recibidos de servidores mediante protocolos de texto como SSH. Si un usuario malintencionado accede a una conexión de texto, una secuencia de códigos de consola especialmente manipulada podría permitir la ejecución de código arbitrario con los privilegios del proceso guacd en ejecución. Se recomienda actualizar a la versión 1.6.0, que soluciona este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Mollie Payments para WooCommerce (CVE-2025-39362)
Fecha de publicación:
02/07/2025
Idioma:
Español
Vulnerabilidad de autorización faltante en Mollie Payments para WooCommerce. Este problema afecta a Mollie Payments para WooCommerce: desde n/d hasta 8.0.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2026

Vulnerabilidad en All-in-One Addons para Elementor – WidgetKit para WordPress (CVE-2025-2330)
Fecha de publicación:
02/07/2025
Idioma:
Español
El complemento All-in-One Addons para Elementor – WidgetKit para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget "button+modal" del complemento en todas las versiones hasta la 2.5.4 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/07/2025

Vulnerabilidad en Vikinger para WordPress (CVE-2025-4946)
Fecha de publicación:
02/07/2025
Idioma:
Español
El tema Vikinger para WordPress es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta de archivo en la función vikinger_delete_activity_media_ajax() en todas las versiones hasta la 1.9.32 incluida. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, eliminen archivos arbitrarios en el servidor, lo que puede provocar fácilmente la ejecución remota de código al eliminar el archivo correcto (como wp-config.php). Nota: Requiere que el complemento Vikinger Media esté instalado y activo.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Infinera G42 (CVE-2025-27024)
Fecha de publicación:
02/07/2025
Idioma:
Español
El acceso sin restricciones al sistema de archivos del SO mediante el servicio SFTP en Infinera G42 versión R6.1.3 permite a los usuarios remotos autenticados leer y escribir archivos del SO mediante conexiones SFTP. Detalles: Los miembros de la cuenta con el perfil de administrador de red pueden acceder al equipo de destino mediante SFTP con las mismas credenciales utilizadas para el acceso SSH CLI y leer todos los archivos según los permisos del SO, en lugar de permanecer dentro del directorio chroot.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en Infinera G42 (CVE-2025-27023)
Fecha de publicación:
02/07/2025
Idioma:
Español
La falta o insuficiencia de validación de entrada en la interfaz de línea de comandos WebGUI de Infinera G42 versión R6.1.3 permite a los usuarios remotos autenticados leer todos los archivos del sistema operativo mediante comandos CLI específicos. Detalles: La gestión basada en la interfaz web del dispositivo Infinera G42 permite ejecutar un conjunto restringido de comandos. Esta función también permite ejecutar un archivo de script ya presente en el dispositivo de destino. Cuando se especifica un archivo incorrecto o que no es un script, se muestra su contenido junto con un mensaje de error. Gracias a la ejecución del servicio http con un usuario con privilegios, todos los archivos del sistema de archivos se pueden visualizar de esta manera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2026

Vulnerabilidad en Infinera G42 (CVE-2025-27025)
Fecha de publicación:
02/07/2025
Idioma:
Español
El dispositivo objetivo expone un servicio en un puerto TCP específico con un endpoint configurado. El acceso a dicho endpoint se otorga mediante un método de autenticación básica. El endpoint también acepta el método PUT y permite escribir archivos en el sistema de archivos del dispositivo objetivo. Los archivos se escriben como root. Con Postman, es posible realizar un ataque de Directory Traversal y escribir archivos en cualquier ubicación del sistema de archivos del dispositivo. De forma similar al método PUT, es posible utilizar el mismo mecanismo para leer cualquier archivo del sistema de archivos mediante el método GET.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Infinera G42 (CVE-2025-27022)
Fecha de publicación:
02/07/2025
Idioma:
Español
Una vulnerabilidad de path traversal del endpoint HTTP WebGUI en Infinera G42 versión R6.1.3 permite a usuarios remotos autenticados descargar todos los archivos del sistema operativo mediante solicitudes HTTP. Detalles: La falta o la validación insuficiente de la entrada del usuario permite a los usuarios autenticados acceder a todos los archivos del sistema de archivos del equipo de destino que son legibles para la cuenta de usuario utilizada para ejecutar el servicio httpd.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2026
Suscribirse a Vulnerabilidades