Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PHPGurukul Company Visitor Management System 2.0 (CVE-2025-4717)
Fecha de publicación:
15/05/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Company Visitor Management System 2.0. Se trata de una función desconocida del archivo /visitors-form.php. La manipulación del argumento fullname provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/05/2025

Vulnerabilidad en Emlog (CVE-2025-47786)
Fecha de publicación:
15/05/2025
Idioma:
Español
Emlog es un sistema de código abierto para la creación de sitios web. La versión 2.5.13 presenta una vulnerabilidad de cross-site scripting almacenado que permite a cualquier usuario registrado crear JavaScript malicioso, induciendo a todos los usuarios del sitio web a hacer clic. En `/admin/comment.php`, el parámetro `perpage_num` no está validado y se almacena directamente en el campo `admin_commend_perpage_num` de la tabla `emlog_options` de la base de datos. Además, la salida no se filtra, lo que resulta en la salida directa de código malicioso. Al momento de la publicación, no se sabe con certeza si existe un parche.
Gravedad CVSS v4.0: BAJA
Última modificación:
12/06/2025

Vulnerabilidad en Emlog (CVE-2025-47787)
Fecha de publicación:
15/05/2025
Idioma:
Español
Emlog es un sistema de creación de sitios web de código abierto. Las versiones anteriores a la 2.5.10 de Emlog Pro presentan una vulnerabilidad de carga de archivos. El componente store.php presenta una falla de seguridad crítica que impide validar correctamente el contenido de los archivos ZIP del complemento descargados remotamente. Esta validación insuficiente permite a los atacantes ejecutar código arbitrario en el sistema vulnerable. La versión 2.5.10 incluye un parche para solucionar el problema.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/07/2025

Vulnerabilidad en Horilla (CVE-2025-47789)
Fecha de publicación:
15/05/2025
Idioma:
Español
Horilla es un sistema de gestión de recursos humanos (HRMS) gratuito y de código abierto. En versiones anteriores a la 1.3, un atacante puede manipular una URL de Horilla que haga referencia a un dominio externo. Al hacer clic e iniciar sesión, el usuario es redirigido a un dominio externo. Esto permite la redirección a cualquier sitio web, incluyendo dominios de phishing o maliciosos, que pueden utilizarse para suplantar la identidad de Horilla y engañar a los usuarios. El commit 1c72404df6888bb23af73c767fdaee5e6679ebd6 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2025

Vulnerabilidad en Atheos (CVE-2025-47788)
Fecha de publicación:
15/05/2025
Idioma:
Español
Atheos es un IDE en la nube autoalojado y basado en navegador. Antes de la versión v602, al igual que en GHSA-rgjm-6p59-537v/CVE-2025-22152, el parámetro `$target` en `/controller.php` no se validaba correctamente, lo que podía permitir que un atacante ejecutara archivos arbitrarios en el servidor mediante el path traversal. La versión v602 incluye una solución para este problema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Spotipy (CVE-2025-47928)
Fecha de publicación:
15/05/2025
Idioma:
Español
Spotipy es una librería de Python para la API web de Spotify. A partir de el commit 4f5759dbfb4506c7b6280572a4db1aabc1ac778d, el uso de `pull_request_target` en `.github/workflows/integration_tests.yml` seguido de la verificación del archivo head.sha de una solicitud de integración bifurcada puede ser explotado por atacantes, ya que se puede ejecutar código no confiable con acceso completo a los secretos (del repositorio base). Al explotar esta vulnerabilidad, es posible exfiltrar `GITHUB_TOKEN` y los secretos `SPOTIPY_CLIENT_ID` y `SPOTIPY_CLIENT_SECRET`. En particular, `GITHUB_TOKEN` puede usarse para controlar completamente el repositorio, ya que el token tiene permisos de escritura de contenido. El `pull_request_target` en GitHub Actions es un problema de seguridad importante, especialmente en repositorios públicos, ya que ejecuta código no confiable desde una solicitud de solicitud (PR), pero con el contexto del repositorio base, incluido el acceso a sus secretos. El commit 9dfb7177b8d7bb98a5a6014f8e6436812a47576f revirtió el cambio que causó el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Microsoft Corporation (CVE-2025-47161)
Fecha de publicación:
15/05/2025
Idioma:
Español
Vulnerabilidad de elevación de privilegios en Microsoft Defender para endpoints
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2025

Vulnerabilidad en Emlog (CVE-2025-47784)
Fecha de publicación:
15/05/2025
Idioma:
Español
Emlog es un sistema de creación de sitios web de código abierto. Las versiones 2.5.13 y anteriores presentan una vulnerabilidad de deserialización. Un usuario que crea un apodo cuidadosamente diseñado puede provocar que `str_replace` reemplace el valor de `name_orig` por uno vacío, lo que provoca un error en la deserialización y devuelve `false`. El commit 9643250802188b791419e3c2188577073256a8a2 corrige el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/10/2025

Vulnerabilidad en Emlog (CVE-2025-47785)
Fecha de publicación:
15/05/2025
Idioma:
Español
Emlog es un sistema de creación de sitios web de código abierto. En versiones anteriores a la 2.5.9, se produce una inyección SQL porque el parámetro $origContent en admin/article_save.php no está estrictamente filtrado. Dado que los usuarios registrados pueden acceder a admin/article_save.php, esto provocará una inyección SQL al habilitar el sitio registrado, lo que resulta en la inyección de la cuenta y contraseña del administrador, que posteriormente es explotada por la ejecución remota de código del backend. Al momento de la publicación, se desconoce si existe una solución.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en Modular Account de Alchemy (CVE-2025-46834)
Fecha de publicación:
15/05/2025
Idioma:
Español
Modular Account de Alchemy es una cuenta de contrato inteligente compatible con ERC-4337 y ERC-6900. En versiones de la rama 2.x anteriores a el commit 5e6f540d249afcaeaf76ab95517d0359fde883b0, los propietarios de Cuentas Modulares pueden otorgar claves de sesión (claves externas con alcance) a terceros y usar el módulo de lista de permitidos para restringir los contratos externos a los que puede acceder la clave de sesión. Existe un error en el módulo de lista de permitidos: no se verifica la ruta `executeUserOp` -> `execute` o `executeBatch`, lo que permite que cualquier clave de sesión eluda las restricciones de control de acceso establecidas en la clave de sesión. Las claves de sesión pueden acceder a contratos de tokens ERC20 y ERC721, entre otros, transfiriendo todos los tokens de la cuenta y configurando los permisos de los módulos externos en las claves de sesión. De esta manera, podrían eliminar todas las restricciones impuestas o rotar las claves de otras claves con mayores privilegios a claves que controlen. El commit 5e6f540d249afcaeaf76ab95517d0359fde883b0 corrige este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en WP-PManager de WordPress (CVE-2025-2248)
Fecha de publicación:
15/05/2025
Idioma:
Español
El complemento WP-PManager de WordPress hasta la versión 1.2 no depura ni escapa un parámetro antes de usarlo en una declaración SQL, lo que permite a los administradores realizar ataques de inyección SQL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en FunnelKit para WordPress (CVE-2025-2203)
Fecha de publicación:
15/05/2025
Idioma:
Español
El complemento FunnelKit para WordPress anterior a la versión 3.10.2 no depura ni escapa un parámetro antes de usarlo en una declaración SQL, lo que permite a los administradores realizar ataques de inyección SQL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025
Suscribirse a Vulnerabilidades