Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Code-gen (CVE-2025-29705)
Fecha de publicación:
15/04/2025
Idioma:
Español
Code-gen <=2.0.6 es vulnerable a un control de acceso incorrecto. El proyecto no tiene control de permisos que permita el acceso a dichos proyectos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2025

Vulnerabilidad en Nmap diagnostic tool in the admin web console (CVE-2024-50960)
Fecha de publicación:
15/04/2025
Idioma:
Español
Una vulnerabilidad de inyección de comandos en Nmap diagnostic tool in the admin web console of Extron SMP 111 <=3.01, SMP 351 <=2.16, and SMP 352 <= 2.16 permite que un atacante remoto autenticado con privilegios administrativos ejecute comandos arbitrarios como root en el sistema operativo subyacente.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/04/2025

Vulnerabilidad en HCL BigFix Web Reports (CVE-2024-42200)
Fecha de publicación:
15/04/2025
Idioma:
Español
HCL BigFix Web Reports podrían estar sujetos a un ataque de Cross-Site Scripting (XSS) almacenado debido a una validación potencialmente débil de la entrada del usuario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/10/2025

Vulnerabilidad en HCL BigFix Web Reports (CVE-2024-42189)
Fecha de publicación:
15/04/2025
Idioma:
Español
HCL BigFix Web Reports podrían estar sujetos a un ataque de denegación de servicio (DoS) debido a una validación potencialmente débil de un parámetro de API.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/10/2025

Vulnerabilidad en Zigbee smart home kit manufactured by Ksix (CVE-2021-27289)
Fecha de publicación:
15/04/2025
Idioma:
Español
Se descubrió una vulnerabilidad de ataque de repetición en Zigbee smart home kit manufactured by Ksix (Zigbee Gateway Module = v1.0.3, Door Sensor = v1.0.7, Motion Sensor = v1.0.12), donde el mecanismo antirreproducción de Zigbee, basado en el campo contador de tramas, está implementado incorrectamente. Como resultado, un atacante dentro del alcance inalámbrico puede reenviar paquetes capturados con un número de secuencia mayor, que los dispositivos aceptan incorrectamente como mensajes legítimos. Esto permite inyectar comandos falsificados sin autenticación, lo que genera alertas falsas y engaña al usuario mediante notificaciones en la aplicación móvil utilizada para monitorear la red.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en OpenRazer (CVE-2025-32776)
Fecha de publicación:
15/04/2025
Idioma:
Español
OpenRazer es un controlador de código abierto y un daemon de espacio de usuario para controlar la iluminación de dispositivos Razer y otras funciones en GNU/Linux. Al escribir datos especialmente manipulados en el archivo `matrix_custom_frame`, un atacante puede provocar que el controlador de kernel personalizado lea más bytes de los que proporciona el espacio de usuario. Estos datos se escribirán en los argumentos RGB que se enviarán al dispositivo USB. Este problema se ha corregido en la versión 3.10.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en E.D.D.I (Enhanced Dialog Driven Interface) (CVE-2025-32779)
Fecha de publicación:
15/04/2025
Idioma:
Español
E.D.D.I (Enhanced Dialog Driven Interface) es un middleware para conectar y administrar bots de la API LLM. En versiones anteriores a la 5.5.0, un atacante con acceso al endpoint de la API `/backup/import` podía escribir archivos arbitrarios fuera del directorio de extracción previsto debido a una vulnerabilidad de Zip Slip. Aunque la aplicación se ejecuta como un usuario no root (`185`), lo que limita el impacto directo en los archivos del sistema, esta vulnerabilidad puede explotarse para sobrescribir archivos de la aplicación (p. ej., librerías JAR) propiedad del usuario. Esta sobrescritura puede provocar la ejecución remota de código (RCE) dentro del contexto de la aplicación. Este problema se ha corregido en la versión 5.5.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en BleachBit (CVE-2025-32780)
Fecha de publicación:
15/04/2025
Idioma:
Español
BleachBit limpia archivos para liberar espacio en disco y mantener la privacidad. BleachBit para Windows (hasta la versión 4.6.2) es vulnerable a una vulnerabilidad de secuestro de DLL. Al colocar una DLL maliciosa con el nombre uuid.dll en la carpeta C:\Users\\AppData\Local\Microsoft\WindowsApps\, un atacante puede ejecutar código arbitrario cada vez que se ejecuta BleachBit. Este problema se ha corregido en la versión 4.9.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Power Automate (CVE-2025-29817)
Fecha de publicación:
15/04/2025
Idioma:
Español
El elemento de ruta de búsqueda no controlada en Power Automate permite que un atacante autorizado divulgue información a través de una red.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2025

Vulnerabilidad en Hitout car sale 1.0 (CVE-2025-28198)
Fecha de publicación:
15/04/2025
Idioma:
Español
Una vulnerabilidad de inyección SQL en Hitout car sale 1.0 permite a un atacante remoto obtener información confidencial a través del parámetro orderBy del componente StoreController.java.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2025

Vulnerabilidad en libsoup (CVE-2025-32911)
Fecha de publicación:
15/04/2025
Idioma:
Español
Se encontró una falla en libsoup, vulnerable a un problema de use-after-free que no se encuentra en el montón en la función soup_message_headers_get_content_disposition(). Esta falla permite que un cliente HTTP malicioso cause corrupción de memoria en el servidor libsoup.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en JotUrl 2.0 (CVE-2025-24948)
Fecha de publicación:
15/04/2025
Idioma:
Español
En JotUrl 2.0, las contraseñas se envían a través de solicitudes de tipo HTTP GET, lo que potencialmente expone las credenciales a escuchas clandestinas o registros inseguros.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2025
Suscribirse a Vulnerabilidades