Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en HCL Leap (CVE-2022-44759)
Fecha de publicación:
24/04/2025
Idioma:
Español
La depuración inadecuada de archivos SVG en HCL Leap permite la inyección de scripts del lado del cliente en aplicaciones implementadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2025

Vulnerabilidad en Johnson Controls (CVE-2025-26382)
Fecha de publicación:
24/04/2025
Idioma:
Español
En determinadas circunstancias, la herramienta Utilidad de configuración iSTAR (ICU) podría tener un problema de desbordamiento de búfer
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
29/04/2025

Vulnerabilidad en h11 (CVE-2025-43859)
Fecha de publicación:
24/04/2025
Idioma:
Español
h11 es una implementación de Python de HTTP/1.1. Antes de la versión 0.16.0, una tolerancia en el análisis de terminadores de línea por parte de h11 en cuerpos de mensajes con codificación fragmentada podía provocar vulnerabilidades de contrabando de solicitudes en ciertas circunstancias. Este problema se ha corregido en la versión 0.16.0. Dado que su explotación requiere la combinación de h11 con errores y un proxy inverso con errores, la corrección de cualquiera de los componentes es suficiente para mitigar este problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/04/2025

Vulnerabilidad en YoutubeDLSharp (CVE-2025-43858)
Fecha de publicación:
24/04/2025
Idioma:
Español
YoutubeDLSharp es un contenedor para los descargadores de vídeo de línea de comandos youtube-dl y yt-dlp. En versiones a partir de la 1.0.0-beta4 y anteriores a la 1.1.2, una conversión insegura de argumentos permite la inyección de comandos maliciosos al iniciar `yt-dlp` desde un símbolo del sistema en Windows con el valor `UseWindowsEncodingWorkaround` definido como verdadero (comportamiento predeterminado). Si un usuario utiliza métodos integrados del archivo YoutubeDL.cs, el valor es verdadero por defecto y no se puede desactivar desde estos métodos. Este problema se ha corregido en la versión 1.1.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/04/2025

Vulnerabilidad en SAP NetWeaver Visual Composer Metadata Uploader (CVE-2025-31324)
Fecha de publicación:
24/04/2025
Idioma:
Español
SAP NetWeaver Visual Composer Metadata Uploader no cuenta con la protección adecuada, lo que permite que agentes no autenticados carguen archivos binarios ejecutables potencialmente maliciosos que podrían dañar gravemente el sistema host. Esto podría afectar significativamente la confidencialidad, la integridad y la disponibilidad del sistema objetivo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/10/2025

Vulnerabilidad en HCL Leap (CVE-2024-30114)
Fecha de publicación:
24/04/2025
Idioma:
Español
La depuración insuficiente en HCL Leap permite la inyección de scripts del lado del cliente en el entorno de creación.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/11/2025

Vulnerabilidad en HCL Leap (CVE-2024-30147)
Fecha de publicación:
24/04/2025
Idioma:
Español
Múltiples vectores en HCL Leap permiten la inyección de scripts del lado del cliente en el entorno de creación y en las aplicaciones implementadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2025

Vulnerabilidad en HCL Leap (CVE-2023-45720)
Fecha de publicación:
24/04/2025
Idioma:
Español
La configuración predeterminada insuficiente en HCL Leap permite el acceso anónimo a la información del directorio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2025

Vulnerabilidad en HCL Leap (CVE-2024-30113)
Fecha de publicación:
24/04/2025
Idioma:
Español
Una política de depuración insuficiente en HCL Leap permite la inyección de scripts del lado del cliente en la aplicación implementada a través del widget HTML.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2025

Vulnerabilidad en HCL Leap (CVE-2023-37534)
Fecha de publicación:
24/04/2025
Idioma:
Español
La lista blanca de protocolos URI insuficiente en HCL Leap permite la inyección de scripts a través de parámetros de consulta.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/11/2025

Vulnerabilidad en webplanetsoft Inline Text Popup (CVE-2025-46538)
Fecha de publicación:
24/04/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en webplanetsoft Inline Text Popup permite XSS basado en DOM. Este problema afecta a la ventana emergente de texto en línea desde n/d hasta la versión 1.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en Chris Mok GNA Search Shortcode (CVE-2025-46540)
Fecha de publicación:
24/04/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Chris Mok GNA Search Shortcode permite XSS almacenado. Este problema afecta al código corto de búsqueda de Chris Mok desde n/d hasta la versión 0.9.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026
Suscribirse a Vulnerabilidades