Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Node.js (CVE-2025-23122)
Fecha de publicación:
19/05/2025
Idioma:
Español
En Node.js, el enlace interno de `ReadFileUtf8` causa una pérdida de memoria debido a un puntero dañado en `uv_fs_s.file`: se asigna un búfer de ruta UTF-16, pero posteriormente se sobrescribe al configurar el descriptor de archivo. Esto provoca una pérdida de memoria irrecuperable en cada llamada. El uso repetido puede causar un crecimiento descontrolado de la memoria, lo que resulta en una denegación de servicio. Impacto: * Esta vulnerabilidad afecta a las API que dependen de `ReadFileUtf8` en las versiones v20 y v22 de Node.js.
Gravedad CVSS v3.1: BAJA
Última modificación:
20/05/2025

Vulnerabilidad en iop-apl-uw basestation3 (CVE-2025-4905)
Fecha de publicación:
19/05/2025
Idioma:
Español
Se encontró una vulnerabilidad en iop-apl-uw basestation3 hasta la versión 3.0.4, clasificada como problemática. Este problema afecta a la función load_qc_pickl del archivo basestation3/QC.py. La manipulación del argumento qc_file provoca la deserialización. Un ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado. El responsable del código etiquetó el problema como cerrado. Sin embargo, hasta el momento no hay ninguna nueva confirmación ni nueva versión en el repositorio de GitHub.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en UniFi Protect (CVE-2025-23123)
Fecha de publicación:
19/05/2025
Idioma:
Español
Un actor malicioso con acceso a la red de administración podría ejecutar una ejecución remota de código (RCE) explotando una vulnerabilidad de desbordamiento de búfer de montón en el firmware de las cámaras UniFi Protect (versión 4.75.43 y anteriores).
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Unifi Protect (CVE-2025-23164)
Fecha de publicación:
19/05/2025
Idioma:
Español
Un mecanismo de token de acceso mal configurado en la aplicación Unifi Protect (versión 5.3.41 y anteriores) podría permitir que el destinatario de un enlace "Compartir transmisión en vivo" mantenga el acceso a la transmisión en vivo correspondiente después de que dicho enlace se deshabilite.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Node.js (CVE-2025-23165)
Fecha de publicación:
19/05/2025
Idioma:
Español
En Node.js, el enlace interno de `ReadFileUtf8` causa una pérdida de memoria debido a un puntero dañado en `uv_fs_s.file`: se asigna un búfer de ruta UTF-16, pero posteriormente se sobrescribe al configurar el descriptor de archivo. Esto provoca una pérdida de memoria irrecuperable en cada llamada. El uso repetido puede causar un crecimiento descontrolado de la memoria, lo que resulta en una denegación de servicio. Impacto: * Esta vulnerabilidad afecta a las API que dependen de `ReadFileUtf8` en las versiones v20 y v22 de Node.js.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en Node.js (CVE-2025-23166)
Fecha de publicación:
19/05/2025
Idioma:
Español
El método SignTraits::DeriveBits() de C++ puede llamar incorrectamente a ThrowException() basándose en las entradas proporcionadas por el usuario al ejecutarse en segundo plano, lo que provoca el bloqueo del proceso de Node.js. Estas operaciones criptográficas se aplican comúnmente a entradas no confiables. Por lo tanto, este mecanismo podría permitir que un adversario bloquee remotamente un entorno de ejecución de Node.js.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Node.js 20 (CVE-2025-23167)
Fecha de publicación:
19/05/2025
Idioma:
Español
Una falla en el analizador HTTP de Node.js 20 permite la terminación incorrecta de los encabezados HTTP/1 mediante `\r\n\rX` en lugar del `\r\n\r\n` requerido. Esta inconsistencia facilita el contrabando de solicitudes, lo que permite a los atacantes eludir los controles de acceso basados en proxy y enviar solicitudes no autorizadas. El problema se solucionó actualizando `llhttp` a la versión 9, que aplica la terminación correcta de los encabezados. Impacto: * Esta vulnerabilidad afecta solo a los usuarios de Node.js 20.x anteriores a la actualización a `llhttp` v9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) (CVE-2025-4903)
Fecha de publicación:
19/05/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como crítica en D-Link DI-7003GV2 24.04.18D1 R(68125). Esta vulnerabilidad afecta a la función sub_41F4F0 del archivo /H5/webgl.asp?tggl_port=0&remote_management=0&http_passwd=game&exec_service=admin-restart. La manipulación provoca un cambio de contraseña no verificado. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/05/2025

Vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) (CVE-2025-4904)
Fecha de publicación:
19/05/2025
Idioma:
Español
Se ha detectado una vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) y se ha clasificado como problemática. Esta vulnerabilidad afecta a la función sub_41F0FC del archivo /H5/webgl.data. La manipulación provoca la divulgación de información. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/05/2025

Vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) (CVE-2025-4902)
Fecha de publicación:
19/05/2025
Idioma:
Español
Se ha detectado una vulnerabilidad clasificada como problemática en D-Link DI-7003GV2 24.04.18D1 R(68125). Este problema afecta a la función sub_48F4F0 del archivo /H5/versionupdate.data. La manipulación provoca la divulgación de información. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) (CVE-2025-4901)
Fecha de publicación:
19/05/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como problemática en D-Link DI-7003GV2 24.04.18D1 R(68125). Esta vulnerabilidad afecta la función sub_41E304 del archivo /H5/state_view.data del componente HTTP Endpoint. La manipulación provoca la divulgación de información. El ataque solo puede realizarse dentro de la red local. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4900)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se ha detectado una vulnerabilidad crítica en Campcodes Sales and Inventory System 1.0. Se ve afectada una función desconocida del archivo /pages/payment.php. La manipulación del argumento cid provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/05/2025
Suscribirse a Vulnerabilidades