Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Dell Wyse Management Suite (CVE-2025-29981)
Fecha de publicación:
02/04/2025
Idioma:
Español
Dell Wyse Management Suite, versiones anteriores a WMS 5.1, contiene una vulnerabilidad de exposición de información confidencial mediante consultas de datos. Un atacante no autenticado con acceso remoto podría explotar esta vulnerabilidad, lo que podría provocar la divulgación de información.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/07/2025

Vulnerabilidad en Dell Wyse Management Suite (CVE-2025-29982)
Fecha de publicación:
02/04/2025
Idioma:
Español
Dell Wyse Management Suite, versiones anteriores a WMS 5.1, contiene una vulnerabilidad de permisos heredados inseguros. Un atacante con pocos privilegios y acceso local podría explotar esta vulnerabilidad, lo que provocaría un acceso no autorizado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/07/2025

Vulnerabilidad en Google Chrome (CVE-2025-3066)
Fecha de publicación:
02/04/2025
Idioma:
Español
El use-after-free en las navegaciones de Google Chrome anteriores a la versión 135.0.7049.52 permitía a un atacante remoto explotar la corrupción del montón mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2025

Vulnerabilidad en CryptoLib (CVE-2025-30356)
Fecha de publicación:
01/04/2025
Idioma:
Español
CryptoLib ofrece una solución exclusivamente de software que utiliza el Protocolo de Seguridad de Enlace de Datos Espaciales CCSDS - Procedimientos Extendidos (SDLS-EP) para proteger las comunicaciones entre una nave espacial que ejecuta el Sistema de Vuelo (cFS) y una estación terrestre. En la versión 1.3.3 y anteriores, persiste una vulnerabilidad de desbordamiento del búfer de pila en la función Crypto_TC_ApplySecurity debido a una comprobación de validación incompleta en el campo fl (longitud de la trama). Aunque CVE-2025-29912 solucionó un problema de desbordamiento por debajo de la capacidad de fl, el parche no previene completamente los cálculos inseguros. Como resultado, un atacante aún puede manipular tramas maliciosas que provoquen un valor negativo en tf_payload_len, que se interpreta como un valor grande sin signo, lo que provoca un desbordamiento del búfer de pila en una llamada a memcpy.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
29/04/2025

Vulnerabilidad en Go-Guerrilla SMTP Daemon (CVE-2025-31135)
Fecha de publicación:
01/04/2025
Idioma:
Español
Go-Guerrilla SMTP Daemon es un servidor SMTP ligero escrito en Go. Antes de la versión 1.6.7, al habilitar ProxyOn, el comando PROXY se aceptaba varias veces, y las invocaciones posteriores anulaban las anteriores. El protocolo proxy solo admite una cabecera PROXY inicial; cualquier acción posterior se considera parte del intercambio entre el cliente y el servidor, por lo que el cliente puede enviar más comandos PROXY con los datos que desee. Go-Guerrilla los tratará como si provinieran del proxy inverso, lo que permite al cliente falsificar su dirección IP. Esta vulnerabilidad se corrigió en la versión 1.6.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en ONLYOFFICE Document Server v.7.5.0 (CVE-2023-46988)
Fecha de publicación:
01/04/2025
Idioma:
Español
La vulnerabilidad de Directory Traversal en ONLYOFFICE Document Server v.7.5.0 y anteriores permite que un atacante remoto obtenga información confidencial a través de una carga de archivo manipulado específicamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2025

Vulnerabilidad en petesheppard84 Extensions for Elementor (CVE-2025-31889)
Fecha de publicación:
01/04/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en petesheppard84 Extensions for Elementor. Este problema afecta a las extensiones de Elementor desde la versión n/d hasta la 2.0.40.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en pixelgrade Nova Blocks by Pixelgrade (CVE-2025-31819)
Fecha de publicación:
01/04/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en pixelgrade Nova Blocks by Pixelgrade. Este problema afecta a Nova Blocks de Pixelgrade desde n/d hasta la versión 2.1.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2026

Vulnerabilidad en Animesh Kumar Advanced Speed Increaser (CVE-2025-31753)
Fecha de publicación:
01/04/2025
Idioma:
Español
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Animesh Kumar Advanced Speed Increaser. Este problema afecta a Advanced Speed Increaser desde n/d hasta la versión 2.2.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2026

Vulnerabilidad en marcoingraiti Actionwear products sync (CVE-2025-31619)
Fecha de publicación:
01/04/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en marcoingraiti Actionwear products sync permite la inyección SQL. Este problema afecta a la sincronización de productos Actionwear desde la versión n/d hasta la 2.3.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2026

Vulnerabilidad en SlicedInvoices Sliced Invoices (CVE-2025-31628)
Fecha de publicación:
01/04/2025
Idioma:
Español
Vulnerabilidad de falta de autorización en SlicedInvoices Sliced Invoices. Este problema afecta a Sliced Invoices desde n/d hasta la versión 3.9.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2026

Vulnerabilidad en EXEIdeas International WP AutoKeyword (CVE-2025-31579)
Fecha de publicación:
01/04/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en EXEIdeas International WP AutoKeyword permite la inyección SQL. Este problema afecta a WP AutoKeyword desde n/d hasta la versión 1.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/04/2026
Suscribirse a Vulnerabilidades