Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Pimcore 11.4.2 (CVE-2024-11954)
Fecha de publicación:
28/01/2025
Idioma:
Español
En Pimcore 11.4.2 se ha detectado una vulnerabilidad clasificada como problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del componente Search Document. La manipulación conduce a la ejecución de Cross Site Scripting básica. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en TeamViewer Clients (CVE-2025-0065)
Fecha de publicación:
28/01/2025
Idioma:
Español
La neutralización incorrecta de delimitadores de argumentos en el componente TeamViewer_service.exe de TeamViewer Clients anteriores a la versión 15.62 para Windows permite que un atacante con acceso local sin privilegios en un sistema de Windows eleve los privilegios mediante la inyección de argumentos.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/01/2025

Vulnerabilidad en CRI-O (CVE-2025-0750)
Fecha de publicación:
28/01/2025
Idioma:
Español
Se encontró una vulnerabilidad en CRI-O. Un problema de Path Traversal en las funciones de administración de registros (UnMountPodLogs y LinkContainerLogs) puede permitir que un atacante con permisos para crear y eliminar Pods desmonte rutas de host arbitrarias, lo que genera una denegación de servicio a nivel de nodo al desmontar directorios sistema críticos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2025

Vulnerabilidad en OpenShift Service Mesh (CVE-2025-0754)
Fecha de publicación:
28/01/2025
Idioma:
Español
La vulnerabilidad se encontró en OpenShift Service Mesh 2.6.3 y 2.5.6. Este problema se produce debido a que Envoy utiliza una máscara desinfección incorrecta en los encabezados HTTP, en particular el encabezado x-forwarded-for. Esta falta de máscara desinfección puede permitir a los atacantes inyectar máscara payloads malicioso en los registros de Service Mesh, lo que genera ataques de inyección de registros y suplantación de identidad. Estas inyecciones pueden engañar a los mecanismos de registro, lo que permite a los atacantes manipular las entradas de registro o ejecutar ataques Cross-Site Scripting (XSS) Reflejado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2025

Vulnerabilidad en OpenShift Service Mesh (CVE-2025-0752)
Fecha de publicación:
28/01/2025
Idioma:
Español
Se encontró una falla en OpenShift Service Mesh 2.6.3 y 2.5.6. Es posible que se produzcan ataques de evasión de limitadores de velocidad, de control de acceso, de agotamiento de CPU y memoria y de repetición debido al encabezado HTTP desinfección incorrecto en Envoy.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2026

Vulnerabilidad en Apache Hive (CVE-2024-23953)
Fecha de publicación:
28/01/2025
Idioma:
Español
El uso de Arrays.equals() en LlapSignerImpl en Apache Hive para comparar firmas de mensajes permite a un atacante falsificar una firma válida para un mensaje arbitrario byte a byte. El atacante debe ser un usuario autorizado del producto para realizar este ataque. Se recomienda a los usuarios que actualicen a la versión 4.0.0, que soluciona este problema. El problema ocurre cuando una aplicación no utiliza un algoritmo de tiempo constante para validar una firma. El método Arrays.equals() devuelve falso de inmediato cuando ve que uno de los bytes de entrada es diferente. Significa que el tiempo de comparación depende del contenido de las matrices. Esta pequeña cosa puede permitir a un atacante falsificar una firma válida para un mensaje arbitrario byte a byte. Por lo tanto, podría permitir que los usuarios malintencionados envíen divisiones/trabajos con firmas seleccionadas a LLAP sin ejecutarse como un usuario privilegiado, lo que podría conducir a un ataque DDoS. Más detalles en la sección de referencia.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en GitLab CE/EE (CVE-2025-0290)
Fecha de publicación:
28/01/2025
Idioma:
Español
Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 15.0 anterior a la 17.5.5, de la 17.6 anterior a la 17.6.3 y de la 17.7 anterior a la 17.7.1. En determinadas condiciones, el procesamiento de metadatos de artefactos de CI podría provocar que los trabajos en segundo plano dejaran de responder.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2025

Vulnerabilidad en JGroups con JDBC_PING (CVE-2025-0736)
Fecha de publicación:
28/01/2025
Idioma:
Español
Se encontró una falla en Infinispan al usar JGroups con JDBC_PING. Este problema ocurre cuando una aplicación expone inadvertidamente información confidencial, como detalles de configuración o credenciales, a través de mecanismos de registro. Esta exposición puede provocar acceso no autorizado y explotación por parte de actores maliciosos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2025

Vulnerabilidad en Philantro – Donations and Donor Management para WordPress (CVE-2024-13527)
Fecha de publicación:
28/01/2025
Idioma:
Español
El complemento Philantro – Donations and Donor Management para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los códigos cortos del complemento como 'donate' en todas las versiones hasta incluida, 5.3 debido a la falta de entrada desinfección y la salida que se escapa en los atributos proporcionados por el usuario. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en las páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2025

Vulnerabilidad en MailUp Auto Subscription para WordPress (CVE-2024-13521)
Fecha de publicación:
28/01/2025
Idioma:
Español
El complemento MailUp Auto Subscription para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.1.0 y incluida. Esto se debe a una validación de nonce incorrecta o faltante en la función mas_options. Esto hace posible que atacantes no autenticados actualicen configuraciones e inyecten contenido web malicioso scripts a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2025

Vulnerabilidad en ElementsKit Pro para WordPress (CVE-2025-0321)
Fecha de publicación:
28/01/2025
Idioma:
Español
El complemento ElementsKit Pro para WordPress es vulnerable a Cross-Site Scripting Almacenado basado en DOM a través del parámetro ‘url’ en todas las versiones hasta la incluida 3.7.8 debido a un escape de entrada desinfección y salida insuficiente. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2025

Vulnerabilidad en WS Form LITE – Drag & Drop Contact Form Builder for WordPress para WordPress (CVE-2024-13509)
Fecha de publicación:
28/01/2025
Idioma:
Español
El complemento WS Form LITE – Drag & Drop Contact Form Builder for WordPress para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro url en todas las versiones hasta la 1.10.13 y incluida, debido a un escape de entrada desinfección y de salida insuficiente. Esto permite que atacantes no autenticados inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. NOTA: Esta vulnerabilidad se solucionó parcialmente en la versión 1.10.13 y se solucionó por completo en la versión 1.10.14.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/01/2025
Suscribirse a Vulnerabilidades