Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PeaZip (CVE-2025-33026)
Fecha de publicación:
15/04/2025
Idioma:
Español
En PeaZip hasta la versión 10.4.0, existe una vulnerabilidad de omisión de la marca de la web. Esta vulnerabilidad permite a los atacantes eludir el mecanismo de protección de la marca de la web en las instalaciones afectadas de PeaZip. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en la gestión de archivos comprimidos. Al extraer archivos de un archivo comprimido manipulado con la marca de la web, PeaZip no la propaga a los archivos extraídos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2025

Vulnerabilidad en Bandisoft Bandizip (CVE-2025-33027)
Fecha de publicación:
15/04/2025
Idioma:
Español
En Bandisoft Bandizip hasta la versión 7.37, existe una vulnerabilidad de omisión de la marca de la web. Esta vulnerabilidad permite a los atacantes eludir el mecanismo de protección de la marca de la web en las instalaciones afectadas de Bandizip. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en la gestión de archivos comprimidos. Al extraer archivos de un archivo comprimido manipulado con la marca de la web, Bandizip no la propaga a los archivos extraídos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2025

Vulnerabilidad en Rockwell Automation ThinManager (CVE-2025-3617)
Fecha de publicación:
15/04/2025
Idioma:
Español
Existe una vulnerabilidad de escalada de privilegios en Rockwell Automation ThinManager. Al iniciarse el software, se eliminan archivos de la carpeta temporal, lo que provoca que la entrada de control de acceso del directorio herede los permisos del directorio principal. Si se explota, un atacante podría heredar privilegios elevados.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/07/2025

Vulnerabilidad en Rockwell Automation ThinManager (CVE-2025-3618)
Fecha de publicación:
15/04/2025
Idioma:
Español
Existe una vulnerabilidad de denegación de servicio en Rockwell Automation ThinManager. El software no verifica adecuadamente el resultado de la asignación de memoria al procesar mensajes de tipo 18. Si se explota, un atacante podría provocar una denegación de servicio en el software objetivo.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/07/2025

Vulnerabilidad en WinZip (CVE-2025-33028)
Fecha de publicación:
15/04/2025
Idioma:
Español
En WinZip hasta la versión 29.0, existe una vulnerabilidad de omisión de la marca de la web debido a una corrección incompleta para CVE-2024-8811. Esta vulnerabilidad permite a los atacantes eludir el mecanismo de protección de la marca de la web en las instalaciones afectadas de WinZip. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en la gestión de archivos comprimidos. Al extraer archivos de un archivo comprimido manipulado con la marca de la web, WinZip no la propaga a los archivos extraídos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en dingfanzuCMS v.1.0 (CVE-2025-28100)
Fecha de publicación:
15/04/2025
Idioma:
Español
Una vulnerabilidad de inyección SQL en dingfanzuCMS v.1.0 permite a un atacante ejecutar código arbitrario al no filtrar correctamente el contenido en el parámetro de identificación "operateOrder.php".
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2025

Vulnerabilidad en Code-gen (CVE-2025-29705)
Fecha de publicación:
15/04/2025
Idioma:
Español
Code-gen <=2.0.6 es vulnerable a un control de acceso incorrecto. El proyecto no tiene control de permisos que permita el acceso a dichos proyectos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2025

Vulnerabilidad en Nmap diagnostic tool in the admin web console (CVE-2024-50960)
Fecha de publicación:
15/04/2025
Idioma:
Español
Una vulnerabilidad de inyección de comandos en Nmap diagnostic tool in the admin web console of Extron SMP 111 <=3.01, SMP 351 <=2.16, and SMP 352 <= 2.16 permite que un atacante remoto autenticado con privilegios administrativos ejecute comandos arbitrarios como root en el sistema operativo subyacente.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/04/2025

Vulnerabilidad en HCL BigFix Web Reports (CVE-2024-42200)
Fecha de publicación:
15/04/2025
Idioma:
Español
HCL BigFix Web Reports podrían estar sujetos a un ataque de Cross-Site Scripting (XSS) almacenado debido a una validación potencialmente débil de la entrada del usuario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/10/2025

Vulnerabilidad en HCL BigFix Web Reports (CVE-2024-42189)
Fecha de publicación:
15/04/2025
Idioma:
Español
HCL BigFix Web Reports podrían estar sujetos a un ataque de denegación de servicio (DoS) debido a una validación potencialmente débil de un parámetro de API.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/10/2025

Vulnerabilidad en Zigbee smart home kit manufactured by Ksix (CVE-2021-27289)
Fecha de publicación:
15/04/2025
Idioma:
Español
Se descubrió una vulnerabilidad de ataque de repetición en Zigbee smart home kit manufactured by Ksix (Zigbee Gateway Module = v1.0.3, Door Sensor = v1.0.7, Motion Sensor = v1.0.12), donde el mecanismo antirreproducción de Zigbee, basado en el campo contador de tramas, está implementado incorrectamente. Como resultado, un atacante dentro del alcance inalámbrico puede reenviar paquetes capturados con un número de secuencia mayor, que los dispositivos aceptan incorrectamente como mensajes legítimos. Esto permite inyectar comandos falsificados sin autenticación, lo que genera alertas falsas y engaña al usuario mediante notificaciones en la aplicación móvil utilizada para monitorear la red.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en OpenRazer (CVE-2025-32776)
Fecha de publicación:
15/04/2025
Idioma:
Español
OpenRazer es un controlador de código abierto y un daemon de espacio de usuario para controlar la iluminación de dispositivos Razer y otras funciones en GNU/Linux. Al escribir datos especialmente manipulados en el archivo `matrix_custom_frame`, un atacante puede provocar que el controlador de kernel personalizado lea más bytes de los que proporciona el espacio de usuario. Estos datos se escribirán en los argumentos RGB que se enviarán al dispositivo USB. Este problema se ha corregido en la versión 3.10.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades