Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Palo Alto Networks GlobalProtect (CVE-2025-0120)
Fecha de publicación:
11/04/2025
Idioma:
Español
Una vulnerabilidad con un mecanismo de administración de privilegios en la aplicación Palo Alto Networks GlobalProtect™ en dispositivos Windows permite que un usuario de Windows no administrativo autenticado localmente escale sus privilegios a NT AUTHORITY\SYSTEM. Sin embargo, la ejecución requiere que el usuario local también pueda explotar con éxito una condición de ejecución, lo que hace que esta vulnerabilidad sea difícil de explotar.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/06/2025

Vulnerabilidad en PAN-OS® de Palo Alto Networks (CVE-2025-0124)
Fecha de publicación:
11/04/2025
Idioma:
Español
Una vulnerabilidad de eliminación de archivos autenticados en el software PAN-OS® de Palo Alto Networks permite que un atacante autenticado con acceso de red a la interfaz web de administración elimine ciertos archivos como usuario “nobody”; Esto incluye registros y archivos de configuración limitados, pero no incluye archivos del sistema. El atacante debe tener acceso a la red a la interfaz web de administración para explotar este problema. Puede reducir en gran medida el riesgo de que se produzca este problema al restringir el acceso a la interfaz web de administración solo a direcciones IP internas confiables de acuerdo con nuestras pautas de implementación crítica recomendadas https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431. Este problema afecta a Cloud NGFW. Sin embargo, este problema no afecta al software Prisma® Access.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/10/2025

Vulnerabilidad en Cortex® XDR de Palo Alto Networks (CVE-2025-0121)
Fecha de publicación:
11/04/2025
Idioma:
Español
Una vulnerabilidad de desreferencia de puntero nulo en el agente Cortex® XDR de Palo Alto Networks en dispositivos Windows permite que un usuario local de Windows con bajos privilegios bloquee el agente. Además, el malware puede utilizar esta vulnerabilidad para realizar actividades maliciosas sin que Cortex XDR pueda detectarlas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Prisma® SD-WAN ION de Palo Alto Networks (CVE-2025-0122)
Fecha de publicación:
11/04/2025
Idioma:
Español
Una vulnerabilidad de denegación de servicio (DoS) en los dispositivos Prisma® SD-WAN ION de Palo Alto Networks permite que un atacante no autenticado en una red adyacente a un dispositivo Prisma SD-WAN ION interrumpa las capacidades de procesamiento de paquetes del dispositivo enviando una ráfaga de paquetes manipulados a ese dispositivo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en PAN-OS® de Palo Alto Networks (CVE-2025-0125)
Fecha de publicación:
11/04/2025
Idioma:
Español
Una vulnerabilidad de neutralización de entrada incorrecta en la interfaz web de administración del software PAN-OS® de Palo Alto Networks permite que un administrador de lectura y escritura autenticado malintencionado se haga pasar por otro administrador de PAN-OS autenticado legítimo. El atacante debe tener acceso a la red a la interfaz web de administración para explotar este problema. Puede reducir en gran medida el riesgo de que se produzca este problema al restringir el acceso a la interfaz web de administración solo a direcciones IP internas confiables de acuerdo con nuestras pautas de implementación crítica recomendadas https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431. Este problema no afecta a Cloud NGFW ni a todas las instancias de Prisma® Access.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en GlobalProtect (CVE-2025-0126)
Fecha de publicación:
11/04/2025
Idioma:
Español
Cuando se configura con SAML, una vulnerabilidad de fijación de sesión en el inicio de sesión de GlobalProtect™ permite a un atacante hacerse pasar por un usuario autorizado legítimo y realizar acciones como ese usuario de GlobalProtect. Esto requiere que el usuario legítimo primero haga clic en un enlace malicioso proporcionado por el atacante. El inicio de sesión SAML para la interfaz de administración de PAN-OS® no se verá afectado. Además, este problema no afecta a Cloud NGFW y todas las instancias de Prisma® Access reciben parches de forma proactiva.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en IBM QRadar WinCollect Agent (CVE-2024-51461)
Fecha de publicación:
11/04/2025
Idioma:
Español
IBM QRadar WinCollect Agent 10.0 a 10.1.13 podría permitir que un atacante remoto provoque una denegación de servicio al interrumpir una solicitud HTTP que podría consumir recursos de memoria.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/08/2025

Vulnerabilidad en WW Norton InQuizitive (CVE-2025-32808)
Fecha de publicación:
11/04/2025
Idioma:
Español
WW Norton InQuizitive hasta el 08/04/2025 permite a los estudiantes insertar registros arbitrarios de su desempeño en las pruebas en el backend, porque solo existe control de acceso del lado del cliente.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/10/2025

Vulnerabilidad en WW Norton InQuizitive (CVE-2025-32809)
Fecha de publicación:
11/04/2025
Idioma:
Español
WW Norton InQuizitive hasta el 8 de abril de 2025 permite a los estudiantes realizar ataques de XSS almacenado contra educadores a través de una descripción adicional, feedback.choice_fb[] o question_id.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/10/2025

Vulnerabilidad en FusionDirectory (CVE-2025-32807)
Fecha de publicación:
11/04/2025
Idioma:
Español
Una vulnerabilidad de path traversal en FusionDirectory anterior a 1.5 permite a atacantes remotos leer archivos arbitrarios en el host que terminan en .png (y .svg o .xpm para algunas configuraciones) a través del parámetro de ícono de una solicitud GET a geticon.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Suricata (CVE-2025-29918)
Fecha de publicación:
10/04/2025
Idioma:
Español
Suricata es un sistema de detección de intrusiones de red, un sistema de prevención de intrusiones y un motor de monitoreo de seguridad de red. Se puede escribir una regla PCRE que conduzca a un bucle infinito cuando se utiliza PCRE negado. El hilo de procesamiento de paquetes queda atascado en un bucle infinito, lo que limita la visibilidad y la disponibilidad en el modo en línea. Esta vulnerabilidad se corrigió en 7.0.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en Suricata (CVE-2025-29917)
Fecha de publicación:
10/04/2025
Idioma:
Español
Suricata es un sistema de detección de intrusiones de red, un sistema de prevención de intrusiones y un motor de monitoreo de seguridad de red. La configuración de bytes en la palabra clave decode_base64 no está limitada adecuadamente. Debido a esto, las firmas que utilizan la palabra clave y la configuración pueden provocar grandes asignaciones de memoria de hasta 4 GiB por hilo. Esta vulnerabilidad se corrigió en 7.0.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/05/2025
Suscribirse a Vulnerabilidades