Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cuba JPA (CVE-2025-32961)
Fecha de publicación:
22/04/2025
Idioma:
Español
La API web de Cuba JPA permite cargar y guardar cualquier entidad definida en el modelo de datos de la aplicación mediante el envío de solicitudes HTTP simples. Antes de la versión 1.1.1, el parámetro de entrada, que consiste en la ruta y el nombre del archivo, podía manipularse para devolver el encabezado Content-Type con text/html si el nombre terminaba en .html. Esto podría permitir la ejecución de código JavaScript malicioso en el navegador. Para que un ataque tenga éxito, es necesario cargar previamente un archivo malicioso. Este problema se ha corregido en la versión 1.1.1. Se ofrece un workaround en el sitio web de documentación de Jmix.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en ManageWiki (CVE-2025-32964)
Fecha de publicación:
22/04/2025
Idioma:
Español
ManageWiki es una extensión de MediaWiki que permite a los usuarios administrar wikis. Antes de la confirmación 00bebea, al habilitar una extensión conflictiva, una extensión restringida se deshabilitaba automáticamente, incluso si el usuario no tenía el permiso restringido de ManageWiki. Este problema se ha corregido en la confirmación 00bebea. Un workaround consiste en asegurar que las extensiones que requieren permisos específicos en `$wgManageWikiExtensions` también requieran los mismos permisos para administrar las extensiones conflictivas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2025

Vulnerabilidad en Jmix (CVE-2025-32952)
Fecha de publicación:
22/04/2025
Idioma:
Español
Jmix es un conjunto de librerías y herramientas para acelerar el desarrollo de aplicaciones centradas en datos en Spring Boot. En las versiones 1.0.0 a 1.6.1 y 2.0.0 a 2.3.4, la implementación del almacenamiento local de archivos no restringe el tamaño de los archivos subidos. Un atacante podría aprovechar esta situación subiendo archivos excesivamente grandes, lo que podría provocar que el servidor se quede sin espacio y devuelva un error HTTP 500, lo que resulta en una denegación de servicio. Este problema se ha corregido en las versiones 1.6.2 y 2.4.0. Se ofrece un workaround en el sitio web de documentación de Jmix.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/12/2025

Vulnerabilidad en MinIO Operator STS (CVE-2025-32963)
Fecha de publicación:
22/04/2025
Idioma:
Español
MinIO Operator STS es una autenticación IAM nativa para Kubernetes. Antes de la versión 7.1.0, si no se proporcionaban audiencias para el campo `spec.audiences`, el valor predeterminado era el del servidor de API de Kubernetes. Sin ámbito, se puede reproducir en otros sistemas internos, que podrían confiar en él involuntariamente. Este problema se ha corregido en la versión 7.1.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en TOTOLINK A830R (CVE-2025-28029)
Fecha de publicación:
22/04/2025
Idioma:
Español
Se descubrió que TOTOLINK A830R V4.1.2cu.5182_B20201102, A950RG V4.1.2cu.5161_B20200903, A3000RU V5.9c.5185_B20201128 y A3100R V4.1.2cu.5247_B20211129 contenían una vulnerabilidad de desbordamiento de búfer en cstecgi.cgi.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en TOTOLINK A830R V4.1.2cu.5182_B20201102 (CVE-2025-28035)
Fecha de publicación:
22/04/2025
Idioma:
Español
Se descubrió que TOTOLINK A830R V4.1.2cu.5182_B20201102 contenía una vulnerabilidad de ejecución de comando remoto previo a la autorización en la función setNoticeCfg a través del parámetro NoticeUrl.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/04/2025

Vulnerabilidad en TOTOLINK A950RG V4.1.2cu.5161_B20200903 (CVE-2025-28036)
Fecha de publicación:
22/04/2025
Idioma:
Español
Se descubrió que TOTOLINK A950RG V4.1.2cu.5161_B20200903 contenía una vulnerabilidad de ejecución de comando remoto previo a la autorización en la función setNoticeCfg a través del parámetro NoticeUrl.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/04/2025

Vulnerabilidad en OctoPrint (CVE-2025-32788)
Fecha de publicación:
22/04/2025
Idioma:
Español
OctoPrint proporciona una interfaz web para controlar impresoras 3D de consumo. En versiones hasta la 1.10.3 (incluida), OctoPrint presenta una vulnerabilidad que permite a un atacante eludir la redirección de inicio de sesión y acceder directamente al HTML renderizado de ciertas páginas frontend. El principal riesgo reside en posibles modificaciones futuras del código base que podrían basarse incorrectamente en las funciones internas vulnerables para las comprobaciones de autenticación, lo que generaría vulnerabilidades de seguridad. Este problema se ha corregido en la versión 1.11.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2025

Vulnerabilidad en TOTOLINK EX1200T V4.1.2cu.5232_B20210713 (CVE-2025-28038)
Fecha de publicación:
22/04/2025
Idioma:
Español
Se descubrió que TOTOLINK EX1200T V4.1.2cu.5232_B20210713 contenía una vulnerabilidad de ejecución de comando remoto previo a la autorización en la función setWebWlanIdx a través del parámetro webWlanIdx.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/04/2025

Vulnerabilidad en TOTOLINK EX1200T V4.1.2cu.5232_B20210713 (CVE-2025-28039)
Fecha de publicación:
22/04/2025
Idioma:
Español
Se descubrió que TOTOLINK EX1200T V4.1.2cu.5232_B20210713 contenía una vulnerabilidad de ejecución de comando remoto previa a la autorización en la función setUpgradeFW a través del parámetro FileName.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/04/2025

Vulnerabilidad en Jmix (CVE-2025-32951)
Fecha de publicación:
22/04/2025
Idioma:
Español
Jmix es un conjunto de librerías y herramientas para acelerar el desarrollo de aplicaciones centradas en datos en Spring Boot. En las versiones 1.0.0 a 1.6.1 y 2.0.0 a 2.3.4, el parámetro de entrada, que consiste en la ruta y el nombre del archivo, se puede manipular para devolver el encabezado Content-Type con text/html si el nombre termina en .html. Esto podría permitir la ejecución de código JavaScript malicioso en el navegador. Para que un ataque tenga éxito, es necesario cargar previamente un archivo malicioso. Este problema se ha corregido en las versiones 1.6.2 y 2.4.0. Se ofrece un workaround en el sitio web de documentación de Jmix.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/12/2025

Vulnerabilidad en Jmix (CVE-2025-32950)
Fecha de publicación:
22/04/2025
Idioma:
Español
Jmix es un conjunto de librerías y herramientas para acelerar el desarrollo de aplicaciones centradas en datos en Spring Boot. En las versiones 1.0.0 a 1.6.1 y 2.0.0 a 2.3.4, los atacantes podían manipular el parámetro FileRef para acceder a los archivos del sistema donde se implementa la aplicación Jmix, siempre que el servidor de aplicaciones cuente con los permisos necesarios. Esto se puede lograr modificando FileRef directamente en la base de datos o proporcionando un valor dañino en el parámetro fileRef del endpoint `/files` de la API REST genérica. Este problema se ha corregido en las versiones 1.6.2 y 2.4.0. Se ofrece un workaround en el sitio web de documentación de Jmix.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/12/2025
Suscribirse a Vulnerabilidades