Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Opencms V2.3 (CVE-2025-28099)
Fecha de publicación:
21/04/2025
Idioma:
Español
Opencms V2.3 es vulnerable a la lectura arbitraria de archivos en src/main/webapp/view/admin/document/dataPage.jsp,
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/06/2025

Vulnerabilidad en open-webui v0.5.16 (CVE-2025-29446)
Fecha de publicación:
21/04/2025
Idioma:
Español
open-webui v0.5.16 es vulnerable a SSRF en routers/ollama.py en la función verify_connection.
Gravedad CVSS v3.1: BAJA
Última modificación:
28/05/2025

Vulnerabilidad en flaskBlog v2.6.1 (CVE-2025-28102)
Fecha de publicación:
21/04/2025
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) en flaskBlog v2.6.1 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro postContent en /createpost.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/06/2025

Vulnerabilidad en Israel National Cyber Directorate (CVE-2025-23174)
Fecha de publicación:
21/04/2025
Idioma:
Español
CWE-200: Exposición de información confidencial a un actor no autorizado
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en FileWave Windows (CVE-2025-43922)
Fecha de publicación:
21/04/2025
Idioma:
Español
El cliente FileWave Windows anterior a la versión 16.0.0, en algunas configuraciones no predeterminadas, permite que un usuario local sin permisos escale privilegios a SYSTEM.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en mojoPortal (CVE-2025-28367)
Fecha de publicación:
21/04/2025
Idioma:
Español
mojoPortal <=2.9.0.1 es vulnerable a Directory Traversal mediante la acción ImageHandler del controlador de la API BetterImageGallery. Un atacante puede explotar esta vulnerabilidad para acceder al archivo Web.Config y obtener la MachineKey.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/08/2025

Vulnerabilidad en Cilium (CVE-2025-32793)
Fecha de publicación:
21/04/2025
Idioma:
Español
Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. Las versiones 1.15.0 a 1.15.15, 1.16.0 a 1.16.8 y 1.17.0 a 1.17.2 son vulnerables al usar el cifrado transparente Wireguard en un clúster de Cilium. Los paquetes que se originan en un endpoint pueden abandonar el nodo de origen sin cifrado debido a una condición de ejecución en el procesamiento del tráfico por parte de Cilium. Este problema se ha corregido en las versiones 1.15.16, 1.16.9 y 1.17.3. No existen workarounds.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/09/2025

Vulnerabilidad en Traefik (CVE-2025-32431)
Fecha de publicación:
21/04/2025
Idioma:
Español
Traefik (pronunciado "traffic") es un proxy inverso HTTP y balanceador de carga. En versiones anteriores a 2.11.24, 3.3.6 y 3.4.0-rc2, existe una vulnerabilidad potencial en Traefik al gestionar las solicitudes mediante un comparador PathPrefix, Path o PathRegex. Cuando Traefik se configura para enrutar las solicitudes a un backend mediante un comparador basado en la ruta, si la URL contiene un /../ en su ruta, es posible dirigirse a un backend expuesto mediante otro enrutador, omitiendo la cadena de middleware. Este problema se ha corregido en las versiones 2.11.24, 3.3.6 y 3.4.0-rc2. Un workaround consiste en añadir una regla `PathRegexp` al comparador para evitar que coincida con una ruta que contenga un `/../` en la ruta.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/11/2025

Vulnerabilidad en AMZN (CVE-2025-3857)
Fecha de publicación:
21/04/2025
Idioma:
Español
Al leer datos binarios de Ion a través de Amazon.IonDotnet con la clase RawBinaryReader, Amazon.IonDotnet no comprueba el número de bytes leídos del flujo subyacente al deserializar el formato binario. Si los datos de Ion están malformados o truncados, se activa un bucle infinito que podría resultar en una denegación de servicio. Los usuarios deben actualizar a la versión 1.3.1 de Amazon.IonDotnet y asegurarse de que cualquier código bifurcado o derivado esté parcheado para incorporar las nuevas correcciones.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en OpenText Content Management (CVE-2024-12543)
Fecha de publicación:
21/04/2025
Idioma:
Español
La funcionalidad de enumeración de usuarios e integridad de datos en códigos de barras en OpenText Content Management versiones 24.3 a 25.1 en Windows y Linux permite que un atacante autenticado malintencionado altere potencialmente los atributos del código de barras.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Yi IOT XY-3820 6.0.24.10 (CVE-2025-29659)
Fecha de publicación:
21/04/2025
Idioma:
Español
Yi IOT XY-3820 6.0.24.10 es vulnerable a la ejecución remota de comandos a través de la función "cmd_listen" ubicada en el binario "cmd".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/06/2025

Vulnerabilidad en Yi IOT XY-3820 v6.0.24.10 (CVE-2025-29660)
Fecha de publicación:
21/04/2025
Idioma:
Español
Existe una vulnerabilidad en el proceso daemon del Yi IOT XY-3820 v6.0.24.10 que expone un servicio TCP en el puerto 6789. Este servicio carece de una validación de entrada adecuada, lo que permite a los atacantes ejecutar scripts arbitrarios presentes en el dispositivo mediante el envío de solicitudes TCP especialmente manipuladas mediante técnicas de directory traversal.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/06/2025
Suscribirse a Vulnerabilidades