Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SUSE Rancher en RoleTemplateobjects (CVE-2023-32197)
Fecha de publicación:
16/04/2025
Idioma:
Español
Una vulnerabilidad de administración incorrecta de privilegios en SUSE Rancher en RoleTemplateobjects cuando external=true está configurado puede provocar una escalada de privilegios en escenarios específicos. Este problema afecta a Rancher: desde la versión 2.7.0 hasta la 2.7.14, desde la versión 2.8.0 hasta la 2.8.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Mattermost (CVE-2025-27538)
Fecha de publicación:
16/04/2025
Idioma:
Español
Las versiones de Mattermost 10.5.x <= 10.5.1, 9.11.x <= 9.11.9 no implementan las comprobaciones de MFA en PUT /api/v4/users/user-id/mfa cuando el usuario solicitante difiere del ID del usuario de destino, lo que permite a los usuarios con permiso edit_other_users activar o desactivar MFA para otros usuarios, incluso si esos usuarios no han configurado MFA.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/10/2025

Vulnerabilidad en Mattermost (CVE-2025-27571)
Fecha de publicación:
16/04/2025
Idioma:
Español
Las versiones de Mattermost 10.5.x <= 10.5.1, 10.4.x <= 10.4.3, 9.11.x <= 9.11.9 no marcan la configuración "Permitir a los usuarios ver canales archivados" al obtener los metadatos del canal de una publicación de canales archivados, lo que permite que los usuarios autenticados accedan a dicha información cuando un canal está archivado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2025

Vulnerabilidad en Betheme para WordPress (CVE-2025-3077)
Fecha de publicación:
16/04/2025
Idioma:
Español
El tema Betheme para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode del botón y el campo CSS personalizado del complemento en todas las versiones hasta la 28.0.3 incluida, debido a una depuración de entrada y al escape de salida insuficiente en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en xxyopen Novel-Plus 3.5.0 (CVE-2025-3676)
Fecha de publicación:
16/04/2025
Idioma:
Español
Se ha detectado una vulnerabilidad crítica en xxyopen Novel-Plus 3.5.0. Esta afecta a una parte desconocida del archivo /api/front/search/books. La manipulación del argumento sort provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en Mattermost (CVE-2025-24839)
Fecha de publicación:
16/04/2025
Idioma:
Español
Las versiones de Mattermost 10.5.x <= 10.5.1, 10.4.x <= 10.4.3 y 9.11.x <= 9.11.9 no impiden que las publicaciones de Wrangler activen respuestas de la IA. Esta vulnerabilidad permite a los usuarios sin acceso al bot de IA activarlo adjuntando la propiedad de anulación activate_ai a una publicación mediante el complemento de Wrangler, siempre que ambos complementos estén habilitados.
Gravedad CVSS v3.1: BAJA
Última modificación:
02/10/2025

Vulnerabilidad en WAGO GmbH & Co. KG (CVE-2025-0101)
Fecha de publicación:
16/04/2025
Idioma:
Español
Un usuario con pocos privilegios puede establecer la fecha de los dispositivos al 19 de enero de 2038 y, por lo tanto, superar el límite de 32 bits. Esto provoca que algunas funciones se ejecuten inesperadamente o dejen de funcionar, tanto durante la ejecución como después de un reinicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en TOTOLINK A3700R 9.1.2u.5822_B20200513 (CVE-2025-3675)
Fecha de publicación:
16/04/2025
Idioma:
Español
Se encontró una vulnerabilidad en TOTOLINK A3700R 9.1.2u.5822_B20200513. Se ha clasificado como crítica. Este problema afecta a la función setL2tpServerCfg del archivo /cgi-bin/cstecgi.cgi. La manipulación genera controles de acceso inadecuados. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2025

Vulnerabilidad en TOTOLINK A3700R 9.1.2u.5822_B20200513 (CVE-2025-3674)
Fecha de publicación:
16/04/2025
Idioma:
Español
Se encontró una vulnerabilidad en TOTOLINK A3700R 9.1.2u.5822_B20200513. Se ha declarado crítica. Esta vulnerabilidad afecta a la función setUrlFilterRules del archivo /cgi-bin/cstecgi.cgi. La manipulación genera controles de acceso inadecuados. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/04/2025

Vulnerabilidad en Contact Form 7 para WordPress (CVE-2025-3247)
Fecha de publicación:
16/04/2025
Idioma:
Español
El complemento Contact Form 7 para WordPress es vulnerable a la repetición de pedidos en todas las versiones hasta la 6.0.5 incluida, a través de la función 'wpcf7_stripe_skip_spam_check', debido a una validación insuficiente en una clave controlada por el usuario. Esto permite que atacantes no autenticados reutilicen un único PaymentIntent de Stripe para múltiples transacciones. Solo la primera transacción se procesa a través de Stripe, pero el plugin envía un correo electrónico con cada transacción realizada correctamente, lo que puede engañar al administrador para que complete cada pedido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2025

Vulnerabilidad en Form Maker de 10Web para WordPress (CVE-2024-10680)
Fecha de publicación:
16/04/2025
Idioma:
Español
El complemento Form Maker de 10Web para WordPress anterior a la versión 1.15.32 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en TOTOLINK A3700R 9.1.2u.5822_B20200513 (CVE-2025-3668)
Fecha de publicación:
16/04/2025
Idioma:
Español
Se encontró una vulnerabilidad en TOTOLINK A3700R 9.1.2u.5822_B20200513. Se ha declarado crítica. Esta vulnerabilidad afecta a la función setScheduleCfg del archivo /cgi-bin/cstecgi.cgi. La manipulación genera controles de acceso inadecuados. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2025
Suscribirse a Vulnerabilidades