Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en RevPi Webstatus (CVE-2025-41646)

Fecha de publicación:
06/06/2025
Idioma:
Español
Un atacante remoto no autorizado puede eludir la autenticación del paquete de software afectado mediante el uso indebido de una conversión de tipo incorrecta. Esto conlleva la vulnerabilidad total del dispositivo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/06/2025

Vulnerabilidad en Apache InLong (CVE-2025-27531)

Fecha de publicación:
06/06/2025
Idioma:
Español
Vulnerabilidad de deserialización de datos no confiables en Apache InLong. Este problema afecta a Apache InLong: desde la versión 1.13.0 hasta la 2.1.0, este problema permitía a un atacante autenticado leer archivos arbitrarios mediante la escritura duplicada del parámetro. Se recomienda a los usuarios actualizar a la versión 2.1.0, que soluciona el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/06/2025

Vulnerabilidad en Rust (CVE-2025-5791)

Fecha de publicación:
06/06/2025
Idioma:
Español
Se encontró una falla en el crate del usuario para Rust. Esta vulnerabilidad permite la escalada de privilegios mediante una lista de grupos incorrecta cuando un usuario o proceso tiene menos de exactamente 1024 grupos, lo que provoca la inclusión errónea del grupo raíz en la lista de acceso.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/06/2025

Vulnerabilidad en Gatling 136.vb_9009b_3d33a_e de Jenkins (CVE-2025-5806)

Fecha de publicación:
06/06/2025
Idioma:
Español
El complemento Gatling 136.vb_9009b_3d33a_e de Jenkins sirve informes Gatling de una manera que elude la protección de la política de seguridad de contenido introducida en Jenkins 1.641 y 1.625, lo que genera una vulnerabilidad de Cross Site Scripting (XSS) que los usuarios pueden explotar para cambiar el contenido del informe.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/06/2025

Vulnerabilidad en kernel de Linux (CVE-2025-38002)

Fecha de publicación:
06/06/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: io_uring/fdinfo: captura ctx->uring_lock en torno a io_uring_show_fdinfo(). No todo requiere bloqueo, razón por la cual existe la variable 'has_lock'. Sin embargo, suficientes requieren bloqueo como para que sea un poco difícil de manejar. Envuelva todo en un trylock `->uring_lock` y simplemente devuelva sin salida si no logramos capturarlo. El trylock() existente ya tendrá una utilidad/salida considerablemente reducida en caso de fallo. Esto soluciona un problema con la lectura de los campos SQE si el anillo se está redimensionando activamente al mismo tiempo.
Gravedad: Pendiente de análisis
Última modificación:
26/06/2025

Vulnerabilidad en 1000 Projects ABC Courier Management System 1.0 (CVE-2025-5778)

Fecha de publicación:
06/06/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como crítica en 1000 Projects ABC Courier Management System 1.0. Se ve afectada una función desconocida del archivo /adminSQL. La manipulación del argumento "Username" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/07/2025

Vulnerabilidad en kernel de Linux (CVE-2025-38001)

Fecha de publicación:
06/06/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net_sched: hfsc: Dirección de cola reentrante que añade clase a eltree dos veces. Savino afirma: "Les escribimos para informarles que este parche reciente (141d34391abbb315d68556b7c67ad97885407547) [1] se puede omitir, y aún puede producirse una UAF cuando se utiliza HFSC con NETEM. El parche solo comprueba el campo cl->cl_nactive para determinar si es la primera inserción o no [2], pero este campo solo se incrementa con init_vf [3]. Al usar HFSC_RSC (que utiliza init_ed) [4], es posible omitir la comprobación e insertar la clase dos veces en eltree. En condiciones normales, esto provocaría un bucle infinito en hfsc_dequeue por las razones que ya explicamos en este informe [5]. Sin embargo, si TBF se añade como qdisc raíz y es Configurado con una tasa muy baja, puede utilizarse para evitar que los paquetes se desencolan. Este comportamiento puede aprovecharse para realizar inserciones posteriores en el eltree de HFSC y provocar un UAF. Para solucionar tanto el UAF como el bucle infinito, con netem como elemento secundario de hfsc, compruebe explícitamente en hfsc_enqueue si la clase ya está en el eltree cuando se activa el indicador HFSC_RSC. [1] https://web.git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=141d34391abbb315d68556b7c67ad97885407547 [2] https://elixir.bootlin.com/linux/v6.15-rc5/source/net/sched/sch_hfsc.c#L1572 [3] https://elixir.bootlin.com/linux/v6.15-rc5/source/net/sched/sch_hfsc.c#L677 [4] https://elixir.bootlin.com/linux/v6.15-rc5/source/net/sched/sch_hfsc.c#L1574 [5] https://lore.kernel.org/netdev/8DuRWwfqjoRDLDmBMlIfbrsZg9Gx50DHJc1ilxsEBNe2D6NMoigR_eIRIG0LOjMc3r10nUUZtArXx4oZBIdUfZQrwjcQhdinnMis_0G7VEk=@willsroot.io/T/#u
Gravedad: Pendiente de análisis
Última modificación:
13/07/2025

Vulnerabilidad en Samba (CVE-2025-0620)

Fecha de publicación:
06/06/2025
Idioma:
Español
Se detectó una falla en Samba. El demonio de servicio smbd no detecta los cambios en la membresía de grupo al volver a autenticar una sesión SMB expirada. Este problema puede exponer los recursos compartidos de archivos hasta que los clientes se desconecten y se vuelvan a conectar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2025

Vulnerabilidad en code-projects Laundry System 1.0 (CVE-2025-5766)

Fecha de publicación:
06/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Laundry System 1.0. Se ha declarado problemática. Esta vulnerabilidad afecta a código desconocido. La manipulación provoca cross-site request forgery. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en code-projects Laundry System 1.0 (CVE-2025-5765)

Fecha de publicación:
06/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Laundry System 1.0. Se ha clasificado como problemática. Afecta a una parte desconocida del archivo /data/edit_laundry.php. La manipulación del argumento "Customer" provoca ataques de Cross Site Scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en code-projects Laundry System 1.0 (CVE-2025-5764)

Fecha de publicación:
06/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Laundry System 1.0 y se clasificó como problemática. Este problema afecta a una funcionalidad desconocida del archivo /data/insert_laundry.php. La manipulación del argumento "Customer" provoca Cross Site Scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en Jatinder Pal Singh BP Profile as Homepage (CVE-2025-49453)

Fecha de publicación:
06/06/2025
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Jatinder Pal Singh BP Profile as Homepage permite XSS almacenado. Este problema afecta al perfil de BP como página de inicio: desde n/d hasta la versión 1.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/06/2025