Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en HP Touchpoint Analytics Service (CVE-2025-1697)
Fecha de publicación:
18/04/2025
Idioma:
Español
Se ha identificado una posible vulnerabilidad de seguridad en HP Touchpoint Analytics Service para ciertos productos de PC HP con versiones anteriores a la 4.2.2439. Esta vulnerabilidad podría permitir que un atacante local aumente los privilegios. HP está proporcionando actualizaciones de software para mitigar esta posible vulnerabilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en Nagios Network Analyzer 2024R1.0.3 (CVE-2025-28059)
Fecha de publicación:
18/04/2025
Idioma:
Español
Una vulnerabilidad de control de acceso en Nagios Network Analyzer 2024R1.0.3 permite que usuarios eliminados conserven el acceso a los recursos del sistema debido a la invalidación incorrecta de sesiones y al manejo de tokens obsoletos. Cuando un administrador elimina una cuenta de usuario, el backend no finaliza las sesiones activas ni revoca los tokens de API asociados, lo que permite el acceso no autorizado a funciones restringidas.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/07/2025

Vulnerabilidad en Alkacon OpenCMS v17.0 (CVE-2024-41447)
Fecha de publicación:
18/04/2025
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting (XSS) almacenado en Alkacon OpenCMS v17.0 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro de autor bajo la función Crear/Modificar artículo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en NamelessMC (CVE-2025-32389)
Fecha de publicación:
18/04/2025
Idioma:
Español
NamelessMC es un software web gratuito, fácil de usar y potente para servidores de Minecraft. Antes de la versión 2.1.4, NamelessMC era vulnerable a la inyección SQL al proporcionar una sintaxis de parámetro GET entre corchetes inesperada. Esta sintaxis se refiere a la estructura `?param[0]=a&param[1]=b&param[2]=c` utilizada por PHP, la cual PHP interpreta como `$_GET['param']` de tipo array. Este problema se ha corregido en la versión 2.1.4.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/05/2025

Vulnerabilidad en Fastify (CVE-2025-32442)
Fecha de publicación:
18/04/2025
Idioma:
Español
Fastify es un framework web rápido y de bajo consumo para Node.js. En las versiones 5.0.0 a 5.3.0, las aplicaciones que especifican diferentes estrategias de validación para distintos tipos de contenido pueden omitir la validación proporcionando un tipo de contenido ligeramente modificado, como con mayúsculas y minúsculas diferentes o con espacios antes de `;` modificados. Esto se solucionó en la versión 5.3.1, pero la corrección inicial no solucionó todos los problemas. Se ha corregido completamente en la versión 5.3.2. Un workaround consiste en no especificar tipos de contenido individuales en el esquema.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/08/2025

Vulnerabilidad en SES (CVE-2025-32792)
Fecha de publicación:
18/04/2025
Idioma:
Español
SES ejecuta de forma segura programas JavaScript de terceros en modo estricto en compartimentos sin exceso de autoridad en su ámbito global. Antes de la versión 1.12.0, las páginas web y extensiones que usaban `ses` y la API de Compartimiento para evaluar código de terceros en un entorno de ejecución aislado, y que también utilizaban enlaces `const`, `let` y `class` en el ámbito de nivel superior de una etiqueta `
Gravedad CVSS v4.0: ALTA
Última modificación:
21/04/2025

Vulnerabilidad en Dify (CVE-2025-32795)
Fecha de publicación:
18/04/2025
Idioma:
Español
Dify es una plataforma de desarrollo de aplicaciones LLM de código abierto. Antes de la versión 0.6.12, se identificó una vulnerabilidad en DIFY que permitía a usuarios normales editar nombres, descripciones e iconos de aplicaciones sin autorización. Esta falla de control de acceso permite a usuarios sin privilegios de administrador modificar los detalles de la aplicación, a pesar de tener acceso restringido a ellas, lo que supone un riesgo para la seguridad de la aplicación. Este problema se ha corregido en la versión 0.6.12. Un workaround consiste en actualizar los mecanismos de control de acceso para aplicar permisos de rol de usuario más estrictos e implementar controles de acceso basados en roles (RBAC) para garantizar que solo los usuarios con privilegios de administrador puedan modificar los detalles de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/06/2025

Vulnerabilidad en Dify (CVE-2025-32796)
Fecha de publicación:
18/04/2025
Idioma:
Español
Dify es una plataforma de desarrollo de aplicaciones LLM de código abierto. Antes de la versión 0.6.12, se identificó una vulnerabilidad en DIFY que permitía a los usuarios habilitar o deshabilitar aplicaciones a través de la API, aunque el botón de la interfaz web para esta acción estuviera deshabilitado y no se les permitiera realizar dichos cambios. Esta falla de control de acceso permite a usuarios no administradores realizar cambios no autorizados, lo que puede afectar la funcionalidad y la disponibilidad de las aplicaciones. Este problema se ha corregido en la versión 0.6.12. Un workaround a esta vulnerabilidad consiste en actualizar los mecanismos de control de acceso de la API para aplicar permisos de rol de usuario más estrictos e implementar controles de acceso basados en roles (RBAC) para garantizar que solo los usuarios con privilegios de administrador puedan enviar solicitudes de habilitación o deshabilitación de aplicaciones.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en PyTorch (CVE-2025-32434)
Fecha de publicación:
18/04/2025
Idioma:
Español
PyTorch es un paquete de Python que proporciona computación tensorial con una potente aceleración de GPU y redes neuronales profundas basadas en un sistema de autogradación basado en cinta. En la versión 2.5.1 y anteriores, existía una vulnerabilidad de ejecución remota de comandos (RCE) en PyTorch al cargar un modelo usando torch.load con weights_only=True. Este problema se ha corregido en la versión 2.6.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
01/12/2025

Vulnerabilidad en NamelessMC (CVE-2025-29784)
Fecha de publicación:
18/04/2025
Idioma:
Español
NamelessMC es un software web gratuito, fácil de usar y potente para servidores de Minecraft. En la versión 2.1.4 y anteriores, el parámetro "s" en las solicitudes GET para la función de búsqueda en el foro no validaba la longitud, lo que permitía a los atacantes enviar consultas de búsqueda excesivamente largas. Este descuido puede provocar una degradación del rendimiento y posibles ataques de denegación de servicio (DoS). Este problema se ha corregido en la versión 2.2.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2025

Vulnerabilidad en Apache ActiveMQ NMS OpenWire Client (CVE-2025-29953)
Fecha de publicación:
18/04/2025
Idioma:
Español
Vulnerabilidad de deserialización de datos no confiables en Apache ActiveMQ NMS OpenWire Client. Este problema afecta a Apache ActiveMQ NMS OpenWire Client anterior a la versión 2.1.1 al conectar con servidores no confiables. Dichos servidores podrían abusar de la deserialización ilimitada del cliente para proporcionar respuestas maliciosas que podrían provocar la ejecución de código arbitrario. La versión 2.1.0 introdujo una función de lista de permitidos/denegados para restringir la deserialización, pero esta función podía omitirse. El equipo de .NET ha descontinuado la función integrada de serialización binaria de .NET a partir de .NET 9 y sugiere migrar hacia una versión posterior. El proyecto está considerando seguir el ejemplo y eliminar esta parte de la API de NMS por completo. Se recomienda a los usuarios actualizar a la versión 2.1.1, que soluciona el problema. También recomendamos migrar hacia una versión posterior que no dependa de la serialización binaria de .NET como método de protección.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2025

Vulnerabilidad en NamelessMC (CVE-2025-30158)
Fecha de publicación:
18/04/2025
Idioma:
Español
NamelessMC es un software web gratuito, fácil de usar y potente para servidores de Minecraft. En la versión 2.1.4 y anteriores, el foro permite a los usuarios publicar elementos iframe dentro de los temas, comentarios y feeds del foro sin restricciones en los atributos de ancho y alto del iframe. Esto permite a un atacante autenticado realizar una denegación de servicio (DoS) basada en la interfaz de usuario (IU) inyectando iframes de gran tamaño que bloquean la interfaz del foro e interrumpen las interacciones normales de los usuarios. Este problema se ha corregido en la versión 2.2.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2025
Suscribirse a Vulnerabilidades