Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Lenovo PC Manager (CVE-2025-2502)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se informó de una vulnerabilidad de permisos predeterminados incorrectos en Lenovo PC Manager que podría permitir que un atacante local eleve privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en Lenovo PC Manager (CVE-2025-2503)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se informó de una vulnerabilidad de manejo inadecuado de permisos en Lenovo PC Manager que podría permitir que un atacante local realice eliminaciones arbitrarias de archivos como un usuario elevado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/02/2026

Vulnerabilidad en Legion Space (CVE-2025-1479)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se informó de una interfaz de depuración abierta en el software Legion Space incluido en ciertos dispositivos Legion que podría permitir que un atacante local ejecute código arbitrario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en vLLM (CVE-2025-48942)
Fecha de publicación:
30/05/2025
Idioma:
Español
vLLM es un motor de inferencia y servicio para modelos de lenguaje grandes (LLM). En las versiones 0.8.0 y 0.9.0, excepto esta, al acceder a la API /v1/completions con un json_schema no válido como parámetro guiado, se desactiva el servidor vllm. Esta vulnerabilidad es similar a la vulnerabilidad GHSA-9hcf-v7m4-6m2j/CVE-2025-48943, pero para expresiones regulares en lugar de un esquema JSON. La versión 0.9.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/06/2025

Vulnerabilidad en vLLM (CVE-2025-48943)
Fecha de publicación:
30/05/2025
Idioma:
Español
vLLM es un motor de inferencia y servicio para modelos de lenguaje grandes (LLM). Las versiones 0.8.0 y 0.9.0, excepto esta, presentan una vulnerabilidad de denegación de servicio (ReDoS) que provoca el bloqueo del servidor vLLM si se proporciona una expresión regular no válida al usar la salida estructurada. Esta vulnerabilidad es similar a GHSA-6qc9-v4r8-22xg/CVE-2025-48942, pero para expresiones regulares en lugar de un esquema JSON. La versión 0.9.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/06/2025

Vulnerabilidad en vLLM (CVE-2025-48944)
Fecha de publicación:
30/05/2025
Idioma:
Español
vLLM es un motor de inferencia y servicio para modelos de lenguaje grandes (LLM). Desde la versión 0.8.0 hasta la 0.9.0 (excluyendo esta última), el backend de vLLM utilizado con el endpoint de OpenAPI /v1/chat/completions no valida entradas inesperadas o incorrectas en los campos "patrón" y "tipo" al invocar la funcionalidad de herramientas. Estas entradas no se validan antes de compilarse o analizarse, lo que provoca un bloqueo del trabajador de inferencia con una sola solicitud. El trabajador permanece inactivo hasta que se reinicia. La versión 0.9.0 corrige este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2025

Vulnerabilidad en Campcodes Online Hospital Management System 1.0 (CVE-2025-5359)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se ha detectado una vulnerabilidad crítica en Campcodes Online Hospital Management System 1.0. Esta afecta a una parte desconocida del archivo /appointment-history.php. La manipulación del ID del argumento provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en go-gh (CVE-2025-48938)
Fecha de publicación:
30/05/2025
Idioma:
Español
go-gh es una colección de módulos de Go que facilita la creación de extensiones de la CLI de GitHub. Se identificó una vulnerabilidad de seguridad en versiones anteriores a la 2.12.1, donde un servidor de GitHub Enterprise controlado por un atacante podía ejecutar comandos arbitrarios en el equipo de un usuario al reemplazar las URL HTTP proporcionadas por GitHub con rutas de archivos locales para la navegación. En la versión 2.12.1, se mejoró `Browser.Browse()` para permitir y deshabilitar diversos escenarios y evitar la apertura o ejecución de archivos en el sistema de archivos sin afectar negativamente a las URL HTTP. No se conocen workarounds aparte de la actualización.
Gravedad CVSS v4.0: BAJA
Última modificación:
15/10/2025

Vulnerabilidad en Chrome PHP (CVE-2025-48883)
Fecha de publicación:
30/05/2025
Idioma:
Español
Chrome PHP permite a los usuarios empezar a experimentar con Chrome/Chromium en modo headless desde PHP. Antes de la versión 1.14.0, las expresiones del selector CSS no se codificaban correctamente, lo que podía provocar vulnerabilidades XSS (cross-site scripting). Esto se solucionó en la versión 1.14.0. Como workaround, los usuarios pueden aplicar la codificación manualmente a sus selectores si no pueden actualizar.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en application-urlshortener (CVE-2025-48885)
Fecha de publicación:
30/05/2025
Idioma:
Español
application-urlshortener crea URLs acortadas para páginas XWiki. Las versiones anteriores a la 1.2.4 son vulnerables a que los usuarios con acceso de vista puedan crear páginas arbitrarias. Cualquier usuario (incluso invitados) puede crear estos documentos, incluso si no existen. Esto puede permitir que los invitados desnaturalicen la estructura de las páginas wiki, creando miles de páginas con nombres aleatorios, que luego se vuelven muy difíciles de gestionar para los administradores. La versión 1.2.4 soluciona el problema. No se conocen workarounds.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en PHPGurukul/Campcodes Cyber Cafe Management System 1.0 (CVE-2025-5358)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se encontró una vulnerabilidad en PHPGurukul/Campcodes Cyber Cafe Management System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /bwdates-reports-details.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en vLLM (CVE-2025-48887)
Fecha de publicación:
30/05/2025
Idioma:
Español
vLLM, un motor de inferencia y servicio para modelos de lenguaje grandes (LLM), presenta una vulnerabilidad de denegación de servicio por expresión regular (ReDoS) en el archivo `vllm/entrypoints/openai/tool_parsers/pythonic_tool_parser.py` de las versiones 0.6.4 a 0.9.0, excepto esta última. La causa principal es el uso de una expresión regular anidada y altamente compleja para la detección de llamadas a herramientas, que un atacante puede explotar para causar una degradación grave del rendimiento o inhabilitar el servicio. El patrón contiene múltiples cuantificadores anidados, grupos opcionales y repeticiones internas, lo que lo hace vulnerable a un retroceso catastrófico. La versión 0.9.0 incluye un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/06/2025
Suscribirse a Vulnerabilidades