Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Vault Community y Vault Enterprise (CVE-2025-4166)
Fecha de publicación:
02/05/2025
Idioma:
Español
El complemento Clave/Valor (kv) versión 2 de Vault Community y Vault Enterprise podría exponer involuntariamente información confidencial en los registros del servidor y de auditoría cuando los usuarios envían payloads malformadas durante la creación o actualización de secretos mediante la API REST de Vault. Esta vulnerabilidad, identificada como CVE-2025-4166, está corregida en Vault Community 1.19.3 y Vault Enterprise 1.19.3, 1.18.9, 1.17.16 y 1.16.20.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/12/2025

Vulnerabilidad en Wavlink WL-WN530H4 20220801 (CVE-2025-44868)
Fecha de publicación:
02/05/2025
Idioma:
Español
Se descubrió que Wavlink WL-WN530H4 20220801 contenía una vulnerabilidad de inyección de comandos en la función ping_test de adm.cgi mediante el parámetro pingIp. Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios mediante una solicitud manipulada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/06/2025

Vulnerabilidad en Tenda AC9 V15.03.06.42_multi (CVE-2025-44872)
Fecha de publicación:
02/05/2025
Idioma:
Español
Se detectó que Tenda AC9 V15.03.06.42_multi contiene una vulnerabilidad de inyección de comandos en la función formsetUsbUnload mediante el parámetro deviceName. Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios mediante una solicitud manipulada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2025

Vulnerabilidad en Tenda AC9 V15.03.06.42_multi (CVE-2025-44877)
Fecha de publicación:
02/05/2025
Idioma:
Español
Se detectó que Tenda AC9 V15.03.06.42_multi contenía una vulnerabilidad de inyección de comandos en la función formSetSambaConf mediante el parámetro usbname. Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios mediante una solicitud manipulada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2025

Vulnerabilidad en PYKO-OUT de Digigram (CVE-2025-3927)
Fecha de publicación:
02/05/2025
Idioma:
Español
El servidor web de audio sobre IP (AoIP) PYKO-OUT de Digigram no requiere una contraseña de manera predeterminada, lo que permite que cualquier atacante con la dirección IP de destino se conecte y comprometa el dispositivo, recurriendo potencialmente a dispositivos de hardware o de red conectados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/06/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37797)
Fecha de publicación:
02/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net_sched: hfsc: Se corrige una vulnerabilidad de UAF en la gestión de clases. Este parche corrige una vulnerabilidad de use-after-free en la gestión de clases de qdisc HFSC. El problema se produce debido a una condición de tiempo de comprobación/tiempo de uso en hfsc_change_class() al trabajar con ciertas qdiscs secundarias como netem o codel. La vulnerabilidad funciona de la siguiente manera: 1. hfsc_change_class() verifica si una clase tiene paquetes (q.qlen != 0) 2. Luego llama a qdisc_peek_len(), que para ciertos qdiscs (por ejemplo, codel, netem) puede descartar paquetes y vaciar la cola 3. El código continúa asumiendo que la cola todavía no está vacía, agregando la clase a vttree 4. Esto rompe las suposiciones del programador HFSC de que solo las clases no vacías están en vttree 5. Más tarde, cuando se destruye la clase, esto puede llevar a un Use-After-Free La solución agrega una segunda verificación de longitud de cola después de qdisc_peek_len() para verificar que la cola no se haya vaciado.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/11/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37798)
Fecha de publicación:
02/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: codel: eliminar la comprobación de sch->q.qlen antes de qdisc_tree_reduce_backlog() Después de hacer que todas las devoluciones de llamadas ->qlen_notify() sean idempotentes, ahora es seguro eliminar la comprobación de qlen!=0 de fq_codel_dequeue() y codel_qdisc_dequeue().
Gravedad CVSS v3.1: ALTA
Última modificación:
06/11/2025

Vulnerabilidad en SOLIDWORKS eDrawings (CVE-2025-1883)
Fecha de publicación:
02/05/2025
Idioma:
Español
Existe una vulnerabilidad de escritura fuera de los límites en el procedimiento de lectura de archivos OBJ en SOLIDWORKS eDrawings en la versión SOLIDWORKS Desktop 2025. Esta vulnerabilidad podría permitir que un atacante ejecute código arbitrario al abrir un archivo OBJ especialmente manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en SOLIDWORKS eDrawings (CVE-2025-1884)
Fecha de publicación:
02/05/2025
Idioma:
Español
Existe una vulnerabilidad de use-after-free en el procedimiento de lectura de archivos SLDPRT en SOLIDWORKS eDrawings en la versión SOLIDWORKS Desktop 2025. Esta vulnerabilidad podría permitir que un atacante ejecute código arbitrario al abrir un archivo SLDPRT especialmente manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Ultimate Auction Pro para WordPress (CVE-2025-4204)
Fecha de publicación:
02/05/2025
Idioma:
Español
El complemento Ultimate Auction Pro para WordPress es vulnerable a la inyección SQL mediante el parámetro 'auction_id' en todas las versiones hasta la 1.5.2 incluida, debido a un escape insuficiente del parámetro proporcionado por el usuario y a la falta de preparación de la consulta SQL existente. Esto permite a atacantes no autenticados añadir consultas SQL adicionales a las consultas ya existentes, que pueden utilizarse para extraer información confidencial de la base de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2025

Vulnerabilidad en Honeywell MB-Secure (CVE-2025-2605)
Fecha de publicación:
02/05/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ('Inyección de comandos del sistema operativo') en Honeywell MB-Secure permite el abuso de privilegios. Este problema afecta a MB-Secure desde la versión 11.04 hasta la 12.53 y a MB-Secure PRO desde la versión 01.06 hasta la 03.09. Honeywell también recomienda actualizar a la versión más reciente de este producto.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2025

Vulnerabilidad en Profelis Informatics SambaBox (CVE-2025-2488)
Fecha de publicación:
02/05/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Profelis Informatics SambaBox permite la ejecución de Cross-Site Scripting (XSS). Este problema afecta a SambaBox: antes de 5.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2025
Suscribirse a Vulnerabilidades