Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Oscar Alvarez Cookie Monster (CVE-2025-22656)
Fecha de publicación:
18/02/2025
Idioma:
Español
Control inadecuado del nombre de archivo para la declaración de inclusión de incluir/requerir en la vulnerabilidad del programa PHP ('PHP Remote File Anchusion') en Oscar Alvarez Cookie Monster permite la inclusión de archivos locales de PHP. Este problema afecta a Cookie Monster: desde N/A hasta 1.2.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2025

Vulnerabilidad en Vito Peleg Atarim (CVE-2025-22657)
Fecha de publicación:
18/02/2025
Idioma:
Español
La vulnerabilidad de la autorización faltante en Vito Peleg Atarim permite explotar los niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Atarim: desde N/A hasta 4.0.9.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2025

Vulnerabilidad en videowhisper Paid Videochat Turnkey Site (CVE-2025-22663)
Fecha de publicación:
18/02/2025
Idioma:
Español
Limitación inadecuada de un nombre de ruta a un directorio restringido ('Path Traversal') Vulnerabilidad en videowhisper Paid Videochat Turnkey Site permite Path Traversal. Este problema afecta el sitio llave en mano de VideoChat pagado: desde N/A hasta 7.2.12.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2025

Vulnerabilidad en NotFound Distance Rate Shipping for WooCommerce (CVE-2025-22639)
Fecha de publicación:
18/02/2025
Idioma:
Español
La neutralización inadecuada de elementos especiales utilizados en un comando SQL ('inyección SQL') vulnerabilidad en NotFound Distance Rate Shipping for WooCommerce permite Blind SQL inyección. Este problema afecta el envío de la tasa de distancia para WooCommerce: desde N/A hasta 1.3.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2025

Vulnerabilidad en Rameez Iqbal Real Estate Manager (CVE-2025-22645)
Fecha de publicación:
18/02/2025
Idioma:
Español
La restricción inadecuada de los intentos de autenticación excesivos de vulnerabilidad en Rameez Iqbal Real Estate Manager permite el forzamiento bruto de contraseña. Este problema afecta al administrador de bienes raíces: desde N/A hasta 7.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2025

Vulnerabilidad en Erez Hadas-Sonnenschein Smartarget (CVE-2025-22650)
Fecha de publicación:
18/02/2025
Idioma:
Español
La neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en Erez Hadas-Sonnenschein Smartarget permite XSS almacenado. Este problema afecta a Smartarget: desde N/A hasta 1.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2025

Vulnerabilidad en Kodeshpa Simplified (CVE-2025-22654)
Fecha de publicación:
18/02/2025
Idioma:
Español
La carga sin restricciones de archivo con vulnerabilidad de tipo peligroso en Kodeshpa Simplified permite usar archivos maliciosos. Este problema afecta a Simplified: desde N/A hasta 1.0.6.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/02/2025

Vulnerabilidad en command/gpg (CVE-2025-0622)
Fecha de publicación:
18/02/2025
Idioma:
Español
Se encontró un defecto en command/gpg. En algunos escenarios, los ganchos creados por módulos cargados no se eliminan cuando se descarga el módulo relacionado. Este defecto permite que un atacante obliga a Grub2 llamar a los ganchos una vez que el módulo que lo registró se descargó, lo que llevó a una vulnerabilidad de use-after-free. Si se explota correctamente, esta vulnerabilidad puede dar como resultado una ejecución de código arbitraria, lo que eventualmente permite que el atacante pase por alto las protecciones seguras de arranque.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/09/2025

Vulnerabilidad en SeventhQueen K Elements (CVE-2024-56000)
Fecha de publicación:
18/02/2025
Idioma:
Español
La vulnerabilidad de la asignación de privilegios incorrectos en SeventhQueen K Elements permite la escalada de privilegios. Este problema afecta a los elementos K: desde N/A hasta N/A.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/02/2025

Vulnerabilidad en GRUB2 (CVE-2024-45775)
Fecha de publicación:
18/02/2025
Idioma:
Español
Se encontró una falla en GRUB2 donde la función Grub_extCMD_DISPATCHER () llama a Grub_arg_List_Alloc () para asignar memoria para la lista de argumentos de GRUB. Sin embargo, no se verifica en caso de que la asignación de memoria falle. Una vez que la asignación falla, la función NULL se procesará mediante la función parse_option (), lo que lleva a la comida a bloquear o, en algunos escenarios raros, corrompe los datos IVT.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025

Vulnerabilidad en Grub2 (CVE-2024-45776)
Fecha de publicación:
18/02/2025
Idioma:
Español
Al leer el archivo .mo .mo en Grub_Mofile_Open (), Grub2 no puede verificar un desbordamiento entero al asignar su búfer interno. Un archivo .mo manipulado puede hacer que se desborde el cálculo del tamaño del búfer, lo que lleva a lecturas y escrituras fuera de los límites. Este defecto permite a un atacante filtrar datos confidenciales o sobrescribir datos críticos, y posiblemente eludir protecciones seguras de arranque.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/09/2025

Vulnerabilidad en GRUB2 (CVE-2024-45781)
Fecha de publicación:
18/02/2025
Idioma:
Español
Se encontró un defecto en Grub2. Al leer el nombre de un enlace simbólico de un sistema de archivos UFS, Grub2 no puede validar la longitud de la cadena tomada como una entrada. La falta de validación puede conducir a un montón fuera de los límites Escribir, causando problemas de integridad de datos y eventualmente permitiendo que un atacante elude las protecciones seguras de arranque.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/09/2025
Suscribirse a Vulnerabilidades