Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en StrangeBee TheHive (CVE-2025-48741)
Fecha de publicación:
23/05/2025
Idioma:
Español
Una vulnerabilidad de control de acceso roto en StrangeBee TheHive 5.2.0 anterior a 5.2.16, 5.3.0 anterior a 5.3.11 y 5.4.0 anterior a 5.4.10 permite a usuarios remotos, autenticados y sin privilegios recuperar alertas, casos, registros, observables o tareas, independientemente de los permisos del usuario, a través de un endpoint de API específico.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Telnet en D-Link DIR-605L (CVE-2025-46176)
Fecha de publicación:
23/05/2025
Idioma:
Español
Las credenciales codificadas en el servicio Telnet en D-Link DIR-605L v2.13B01 y DIR-816L v2.06B01 permiten a los atacantes ejecutar comandos arbitrarios de forma remota a través del análisis de firmware.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2025

Vulnerabilidad en TinyFileManager v2.4.7 (CVE-2025-44998)
Fecha de publicación:
23/05/2025
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) almacenado en el componente /tinyfilemanager.php de TinyFileManager v2.4.7 permite a los atacantes ejecutar JavaScript o HTML arbitrario mediante la inyección de un payload manipulado en el parámetro js-theme-3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/12/2025

Vulnerabilidad en PHPGURUKUL Student Management System (CVE-2024-51102)
Fecha de publicación:
23/05/2025
Idioma:
Español
Se descubrió que PHPGURUKUL Student Management System que utiliza PHP y MySQL v1 contenía múltiples vulnerabilidades de inyección SQL en /studentrecordms/login.php a través de los parámetros de nombre de usuario y contraseña.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2025

Vulnerabilidad en MOBOTIX P3 (CVE-2023-34873)
Fecha de publicación:
23/05/2025
Idioma:
Español
En las cámaras MOBOTIX P3 anteriores a MX-V4.7.2.18 y en las cámaras Mx6 anteriores a MX-V5.2.0.61, la función tcpdump no valida correctamente la entrada, lo que permite que los usuarios autenticados ejecuten código.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Schule (CVE-2025-48375)
Fecha de publicación:
23/05/2025
Idioma:
Español
Schule es un software de gestión escolar de código abierto. Antes de la versión 1.0.1, el archivo forgot_password.php (o el endpoint equivalente responsable de la generación de OTP por correo electrónico) carecía de controles adecuados para limitar la velocidad de respuesta, lo que permitía a los atacantes abusar de la funcionalidad de solicitud de OTP. Esta vulnerabilidad puede explotarse para enviar un número excesivo de correos electrónicos de OTP, lo que podría generar denegaciones de servicio (DoS) o facilitar el acoso a los usuarios mediante la saturación de correo electrónico. La versión 1.0.1 corrige este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/09/2025

Vulnerabilidad en DNN (CVE-2025-48376)
Fecha de publicación:
23/05/2025
Idioma:
Español
DNN (anteriormente DotNetNuke) es una plataforma de gestión de contenido web (CMS) de código abierto del ecosistema de Microsoft. Antes de la versión 9.13.9, un superusuario (host) malicioso podía manipular una solicitud para usar una URL externa para la exportación de un sitio web y su posterior importación. La versión 9.13.9 soluciona este problema.
Gravedad CVSS v3.1: BAJA
Última modificación:
26/08/2025

Vulnerabilidad en DNN (CVE-2025-48377)
Fecha de publicación:
23/05/2025
Idioma:
Español
DNN (anteriormente DotNetNuke) es una plataforma de gestión de contenido web (CMS) de código abierto del ecosistema de Microsoft. Antes de la versión 9.13.9, se podía crear una URL especialmente manipulada que inyectaba una carga XSS activada al usar ciertas acciones del módulo. La versión 9.13.9 soluciona este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/08/2025

Vulnerabilidad en DNN (CVE-2025-48378)
Fecha de publicación:
23/05/2025
Idioma:
Español
DNN (anteriormente DotNetNuke) es una plataforma de gestión de contenido web (CMS) de código abierto del ecosistema de Microsoft. Antes de la versión 9.13.9, los archivos SVG cargados podían contener scripts que, al renderizarse en línea, podían ejecutarse, lo que permitía ataques XSS. La versión 9.13.9 soluciona este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/08/2025

Vulnerabilidad en Tenable Network Monitor (CVE-2025-24917)
Fecha de publicación:
23/05/2025
Idioma:
Español
En versiones de Tenable Network Monitor anteriores a 6.5.1 en un host Windows, se descubrió que un usuario no administrativo podía almacenar archivos en un directorio local para ejecutar código arbitrario con privilegios de SYSTEM, lo que potencialmente podía provocar una escalada de privilegios locales.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/10/2025

Vulnerabilidad en OpenEMR (CVE-2025-32967)
Fecha de publicación:
23/05/2025
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para la gestión de historiales médicos electrónicos y consultorios médicos. Un error de registro en versiones anteriores a la 7.0.3.4 permite que los cambios de contraseña no se registren en el visor de registros del cliente, lo que impide a los administradores auditar acciones críticas. Esto debilita la trazabilidad y expone el sistema a un uso indebido imperceptible por parte de usuarios internos o atacantes. La versión 7.0.3.4 incluye un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2025

Vulnerabilidad en OpenEMR (CVE-2025-43860)
Fecha de publicación:
23/05/2025
Idioma:
Español
OpenEMR es una aplicación gratuita y de código abierto para la gestión de historiales médicos electrónicos y consultorios médicos. Una vulnerabilidad de cross-site scripting (XSS) almacenado en versiones anteriores a la 7.0.3.4 permite a cualquier usuario autenticado con privilegios de creación y edición de pacientes inyectar código JavaScript arbitrario en el sistema mediante la introducción de payloads maliciosos en (1) los campos de texto de Dirección, Línea de dirección 2, Código postal y Ciudad, y (2) las opciones del menú desplegable de Uso de dirección, Estado y País de la sección Direcciones adicionales de la pestaña Contacto en Datos demográficos del paciente. El script inyectado puede ejecutarse en dos escenarios: (1) dinámicamente durante la entrada del formulario y (2) cuando los datos del formulario se cargan posteriormente para su edición. La versión 7.0.3.4 incluye un parche para este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2025
Suscribirse a Vulnerabilidades