Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Honding Technology (CVE-2025-5893)

Fecha de publicación:
09/06/2025
Idioma:
Español
El sistema de gestión de estacionamiento inteligente de Honding Technology tiene una vulnerabilidad de exposición de información confidencial, que permite a atacantes remotos no autenticados acceder a una página específica y obtener credenciales de administrador en texto simple.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
09/06/2025

Vulnerabilidad en RT-Thread 5.1.0 (CVE-2025-5866)

Fecha de publicación:
09/06/2025
Idioma:
Español
Se ha detectado una vulnerabilidad crítica en RT-Thread 5.1.0. Esta afecta a la función sys_sigprocmask del archivo rt-thread/components/lwp/lwp_syscall.c. La manipulación del argumento `how` provoca una validación incorrecta del índice de la matriz.
Gravedad CVSS v4.0: ALTA
Última modificación:
11/07/2025

Vulnerabilidad en RT-Thread 5.1.0 (CVE-2025-5865)

Fecha de publicación:
09/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en RT-Thread 5.1.0. Se ha clasificado como crítica. Este problema afecta a la función sys_select del archivo rt-thread/components/lwp/lwp_syscall.c del controlador de parámetros del componente. La manipulación del argumento timeout provoca corrupción de memoria. El proveedor explica que «se debe comprobar el parámetro timeout para comprobar si se puede acceder correctamente en modo kernel y si se puede usar temporalmente en la memoria del kernel».
Gravedad CVSS v4.0: ALTA
Última modificación:
11/07/2025

Vulnerabilidad en Tenda TDSEE (CVE-2025-5864)

Fecha de publicación:
09/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en la aplicación Tenda TDSEE hasta la versión 1.7.12. Se ha declarado problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /app/ConfirmSmsCode del componente Password Reset Confirmation Code Handler. Esta manipulación provoca una restricción indebida de un exceso de intentos de autenticación. El ataque puede ejecutarse en remoto. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado. Actualizar a la versión 1.7.15 puede solucionar este problema. Se recomienda actualizar el componente afectado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/06/2025

Vulnerabilidad en nbdkit (CVE-2025-47711)

Fecha de publicación:
09/06/2025
Idioma:
Español
Existe una falla en el servidor nbdkit al gestionar las respuestas de sus complementos sobre el estado de los bloques de datos. Si un cliente realiza una solicitud específica para un rango de datos muy grande y un complemento responde con un bloque aún mayor, el servidor nbdkit puede encontrar un error interno crítico que provoque una denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2025

Vulnerabilidad en nbdkit (CVE-2025-47712)

Fecha de publicación:
09/06/2025
Idioma:
Español
Existe una falla en el filtro "blocksize" de nbdkit que puede activarse con un tipo específico de solicitud de cliente. Cuando un cliente solicita información sobre el estado del bloque para un rango de datos muy grande, superando cierto límite, se produce un error interno en nbdkit, lo que provoca una denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2025

Vulnerabilidad en Tenda AC5 15.03.06.47 (CVE-2025-5863)

Fecha de publicación:
09/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en Tenda AC5 15.03.06.47. Se ha clasificado como crítica. La función formSetRebootTimer del archivo /goform/SetRebootTimer está afectada. La manipulación del argumento rebootTime provoca un desbordamiento del búfer en la pila. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/06/2025

Vulnerabilidad en Broadstreet para WordPress (CVE-2025-4652)

Fecha de publicación:
09/06/2025
Idioma:
Español
El complemento Broadstreet para WordPress anterior a la versión 1.51.8 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en Newsletter de WordPress (CVE-2025-3581)

Fecha de publicación:
09/06/2025
Idioma:
Español
El complemento Newsletter de WordPress anterior a la versión 8.8.5 no valida ni escapa algunas de las opciones de su widget antes de mostrarlas nuevamente en una página o publicación donde está incrustado el bloque, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en Newsletter de WordPress (CVE-2025-3582)

Fecha de publicación:
09/06/2025
Idioma:
Español
El complemento Newsletter de WordPress anterior a la versión 8.85 no depura ni escapa de algunas de las configuraciones de formulario, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en Red Hat, Inc. (CVE-2025-25207)

Fecha de publicación:
09/06/2025
Idioma:
Español
El servicio Authorino en Red Hat Connectivity Link es el servicio de autorización para la seguridad de API de confianza cero. Authorino permite a los usuarios con perfil de desarrollador agregar devoluciones de llamadas para que se ejecuten en los endpoints HTTP una vez completado el proceso de autorización. Se descubrió que un atacante con acceso de perfil de desarrollador puede agregar un gran número de estas devoluciones de llamadas para que las ejecute Authorino. Dado que la política de autenticación se aplica mediante una sola instancia del servicio, esto provoca una denegación de servicio en Authorino al procesar las devoluciones de llamadas posteriores a la autorización.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2025

Vulnerabilidad en Red Hat, Inc. (CVE-2025-25208)

Fecha de publicación:
09/06/2025
Idioma:
Español
Un personaje de desarrollador puede hacer caer el servicio Authorino, impidiendo la evaluación de todas las AuthPolicies en el clúster.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2025