Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PHPOffice Math (CVE-2025-48882)
Fecha de publicación:
30/05/2025
Idioma:
Español
PHPOffice Math es una librería que proporciona un conjunto de clases para manipular diferentes formatos de archivos de fórmulas. Antes de la versión 0.3.0, cargar datos XML con la extensión estándar `libxml` y el indicador `LIBXML_DTDLOAD` sin filtrado adicional provocaba XXE. La versión 0.3.0 corrige esta vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en liboqs (CVE-2025-48946)
Fecha de publicación:
30/05/2025
Idioma:
Español
liboqs es una librería criptográfica en lenguaje C que proporciona implementaciones de algoritmos de criptografía poscuántica. Las versiones anteriores a la 0.13.0 de liboqs son compatibles con el algoritmo HQC, un algoritmo con un fallo de diseño teórico que provoca que un gran número de textos cifrados malformados compartan el mismo valor de rechazo implícito. Actualmente, no se conoce ningún ataque concreto contra el algoritmo. Sin embargo, los futuros usuarios de HQC deben tener especial cuidado al utilizarlo en protocolos que impliquen derivación de claves. En particular, HQC no ofrece las mismas garantías de seguridad que Kyber o ML-KEM. Actualmente no hay un parche disponible en liboqs para el fallo de HQC, por lo que HQC está deshabilitado por defecto a partir de la versión 0.13.0. OQS actualizará su implementación después de que el equipo de HQC publique una especificación actualizada del algoritmo.
Gravedad CVSS v3.1: BAJA
Última modificación:
25/08/2025

Vulnerabilidad en Navidrome (CVE-2025-48948)
Fecha de publicación:
30/05/2025
Idioma:
Español
Navidrome es un servidor y transmisor de música de código abierto basado en la web. Una falla de verificación de permisos en versiones anteriores a la 0.56.0 permite a cualquier usuario autenticado eludir las comprobaciones de autorización y realizar operaciones de configuración de transcodificación exclusivas del administrador, como crear, modificar y eliminar ajustes de transcodificación. En el modelo de amenaza donde se confía en los administradores, pero no en los usuarios, esta vulnerabilidad representa un riesgo de seguridad significativo cuando la transcodificación está habilitada. La versión 0.56.0 corrige el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/08/2025

Vulnerabilidad en Lenovo PC Manager (CVE-2025-2501)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se informó de una vulnerabilidad de ruta de búsqueda no confiable en Lenovo PC Manager que podría permitir que un atacante local eleve privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en Lenovo PC Manager (CVE-2025-2502)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se informó de una vulnerabilidad de permisos predeterminados incorrectos en Lenovo PC Manager que podría permitir que un atacante local eleve privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/02/2026

Vulnerabilidad en Lenovo PC Manager (CVE-2025-2503)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se informó de una vulnerabilidad de manejo inadecuado de permisos en Lenovo PC Manager que podría permitir que un atacante local realice eliminaciones arbitrarias de archivos como un usuario elevado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/02/2026

Vulnerabilidad en Legion Space (CVE-2025-1479)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se informó de una interfaz de depuración abierta en el software Legion Space incluido en ciertos dispositivos Legion que podría permitir que un atacante local ejecute código arbitrario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en vLLM (CVE-2025-48942)
Fecha de publicación:
30/05/2025
Idioma:
Español
vLLM es un motor de inferencia y servicio para modelos de lenguaje grandes (LLM). En las versiones 0.8.0 y 0.9.0, excepto esta, al acceder a la API /v1/completions con un json_schema no válido como parámetro guiado, se desactiva el servidor vllm. Esta vulnerabilidad es similar a la vulnerabilidad GHSA-9hcf-v7m4-6m2j/CVE-2025-48943, pero para expresiones regulares en lugar de un esquema JSON. La versión 0.9.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/06/2025

Vulnerabilidad en vLLM (CVE-2025-48943)
Fecha de publicación:
30/05/2025
Idioma:
Español
vLLM es un motor de inferencia y servicio para modelos de lenguaje grandes (LLM). Las versiones 0.8.0 y 0.9.0, excepto esta, presentan una vulnerabilidad de denegación de servicio (ReDoS) que provoca el bloqueo del servidor vLLM si se proporciona una expresión regular no válida al usar la salida estructurada. Esta vulnerabilidad es similar a GHSA-6qc9-v4r8-22xg/CVE-2025-48942, pero para expresiones regulares en lugar de un esquema JSON. La versión 0.9.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/06/2025

Vulnerabilidad en vLLM (CVE-2025-48944)
Fecha de publicación:
30/05/2025
Idioma:
Español
vLLM es un motor de inferencia y servicio para modelos de lenguaje grandes (LLM). Desde la versión 0.8.0 hasta la 0.9.0 (excluyendo esta última), el backend de vLLM utilizado con el endpoint de OpenAPI /v1/chat/completions no valida entradas inesperadas o incorrectas en los campos "patrón" y "tipo" al invocar la funcionalidad de herramientas. Estas entradas no se validan antes de compilarse o analizarse, lo que provoca un bloqueo del trabajador de inferencia con una sola solicitud. El trabajador permanece inactivo hasta que se reinicia. La versión 0.9.0 corrige este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2025

Vulnerabilidad en Campcodes Online Hospital Management System 1.0 (CVE-2025-5359)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se ha detectado una vulnerabilidad crítica en Campcodes Online Hospital Management System 1.0. Esta afecta a una parte desconocida del archivo /appointment-history.php. La manipulación del ID del argumento provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en Chrome PHP (CVE-2025-48883)
Fecha de publicación:
30/05/2025
Idioma:
Español
Chrome PHP permite a los usuarios empezar a experimentar con Chrome/Chromium en modo headless desde PHP. Antes de la versión 1.14.0, las expresiones del selector CSS no se codificaban correctamente, lo que podía provocar vulnerabilidades XSS (cross-site scripting). Esto se solucionó en la versión 1.14.0. Como workaround, los usuarios pueden aplicar la codificación manualmente a sus selectores si no pueden actualizar.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades