Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en BW Broadcast (CVE-2025-28233)
Fecha de publicación:
18/04/2025
Idioma:
Español
El control de acceso incorrecto en BW Broadcast TX600 (14980), TX300 (32990) (31448), TX150, TX1000, TX30 y TX50 Versión de hardware: 2, Versión de software: 1.6.0, Versión de control: 1.0, Versión de firmware AIO: 1.7 permite a los atacantes acceder a archivos de registro y extraer identificadores de sesión para ejecutar un ataque de secuestro de sesión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Soundcraft Ui Series Firmware (CVE-2025-28235)
Fecha de publicación:
18/04/2025
Idioma:
Español
Una vulnerabilidad de divulgación de información en el componente /socket.io/1/websocket/ de los modelos Ui12 y Ui16 de Soundcraft Ui Series Firmware v1.0.7x y v1.0.5x permite a los atacantes acceder a las credenciales de administrador en texto sin formato.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Itel Electronics IP Stream v1.7.0.6 (CVE-2025-28231)
Fecha de publicación:
18/04/2025
Idioma:
Español
El control de acceso incorrecto en Itel Electronics IP Stream v1.7.0.6 permite a atacantes no autorizados ejecutar comandos arbitrarios con privilegios de administrador.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en HP Touchpoint Analytics Service (CVE-2025-1697)
Fecha de publicación:
18/04/2025
Idioma:
Español
Se ha identificado una posible vulnerabilidad de seguridad en HP Touchpoint Analytics Service para ciertos productos de PC HP con versiones anteriores a la 4.2.2439. Esta vulnerabilidad podría permitir que un atacante local aumente los privilegios. HP está proporcionando actualizaciones de software para mitigar esta posible vulnerabilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/02/2026

Vulnerabilidad en Nagios Network Analyzer 2024R1.0.3 (CVE-2025-28059)
Fecha de publicación:
18/04/2025
Idioma:
Español
Una vulnerabilidad de control de acceso en Nagios Network Analyzer 2024R1.0.3 permite que usuarios eliminados conserven el acceso a los recursos del sistema debido a la invalidación incorrecta de sesiones y al manejo de tokens obsoletos. Cuando un administrador elimina una cuenta de usuario, el backend no finaliza las sesiones activas ni revoca los tokens de API asociados, lo que permite el acceso no autorizado a funciones restringidas.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/07/2025

Vulnerabilidad en Alkacon OpenCMS v17.0 (CVE-2024-41447)
Fecha de publicación:
18/04/2025
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting (XSS) almacenado en Alkacon OpenCMS v17.0 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro de autor bajo la función Crear/Modificar artículo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en NamelessMC (CVE-2025-32389)
Fecha de publicación:
18/04/2025
Idioma:
Español
NamelessMC es un software web gratuito, fácil de usar y potente para servidores de Minecraft. Antes de la versión 2.1.4, NamelessMC era vulnerable a la inyección SQL al proporcionar una sintaxis de parámetro GET entre corchetes inesperada. Esta sintaxis se refiere a la estructura `?param[0]=a&param[1]=b&param[2]=c` utilizada por PHP, la cual PHP interpreta como `$_GET['param']` de tipo array. Este problema se ha corregido en la versión 2.1.4.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/05/2025

Vulnerabilidad en Fastify (CVE-2025-32442)
Fecha de publicación:
18/04/2025
Idioma:
Español
Fastify es un framework web rápido y de bajo consumo para Node.js. En las versiones 5.0.0 a 5.3.0, las aplicaciones que especifican diferentes estrategias de validación para distintos tipos de contenido pueden omitir la validación proporcionando un tipo de contenido ligeramente modificado, como con mayúsculas y minúsculas diferentes o con espacios antes de `;` modificados. Esto se solucionó en la versión 5.3.1, pero la corrección inicial no solucionó todos los problemas. Se ha corregido completamente en la versión 5.3.2. Un workaround consiste en no especificar tipos de contenido individuales en el esquema.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/08/2025

Vulnerabilidad en Dify (CVE-2025-32795)
Fecha de publicación:
18/04/2025
Idioma:
Español
Dify es una plataforma de desarrollo de aplicaciones LLM de código abierto. Antes de la versión 0.6.12, se identificó una vulnerabilidad en DIFY que permitía a usuarios normales editar nombres, descripciones e iconos de aplicaciones sin autorización. Esta falla de control de acceso permite a usuarios sin privilegios de administrador modificar los detalles de la aplicación, a pesar de tener acceso restringido a ellas, lo que supone un riesgo para la seguridad de la aplicación. Este problema se ha corregido en la versión 0.6.12. Un workaround consiste en actualizar los mecanismos de control de acceso para aplicar permisos de rol de usuario más estrictos e implementar controles de acceso basados en roles (RBAC) para garantizar que solo los usuarios con privilegios de administrador puedan modificar los detalles de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/06/2025

Vulnerabilidad en Dify (CVE-2025-32796)
Fecha de publicación:
18/04/2025
Idioma:
Español
Dify es una plataforma de desarrollo de aplicaciones LLM de código abierto. Antes de la versión 0.6.12, se identificó una vulnerabilidad en DIFY que permitía a los usuarios habilitar o deshabilitar aplicaciones a través de la API, aunque el botón de la interfaz web para esta acción estuviera deshabilitado y no se les permitiera realizar dichos cambios. Esta falla de control de acceso permite a usuarios no administradores realizar cambios no autorizados, lo que puede afectar la funcionalidad y la disponibilidad de las aplicaciones. Este problema se ha corregido en la versión 0.6.12. Un workaround a esta vulnerabilidad consiste en actualizar los mecanismos de control de acceso de la API para aplicar permisos de rol de usuario más estrictos e implementar controles de acceso basados en roles (RBAC) para garantizar que solo los usuarios con privilegios de administrador puedan enviar solicitudes de habilitación o deshabilitación de aplicaciones.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en PyTorch (CVE-2025-32434)
Fecha de publicación:
18/04/2025
Idioma:
Español
PyTorch es un paquete de Python que proporciona computación tensorial con una potente aceleración de GPU y redes neuronales profundas basadas en un sistema de autogradación basado en cinta. En la versión 2.5.1 y anteriores, existía una vulnerabilidad de ejecución remota de comandos (RCE) en PyTorch al cargar un modelo usando torch.load con weights_only=True. Este problema se ha corregido en la versión 2.6.0.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
01/12/2025

Vulnerabilidad en SES (CVE-2025-32792)
Fecha de publicación:
18/04/2025
Idioma:
Español
SES ejecuta de forma segura programas JavaScript de terceros en modo estricto en compartimentos sin exceso de autoridad en su ámbito global. Antes de la versión 1.12.0, las páginas web y extensiones que usaban `ses` y la API de Compartimiento para evaluar código de terceros en un entorno de ejecución aislado, y que también utilizaban enlaces `const`, `let` y `class` en el ámbito de nivel superior de una etiqueta `
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades