Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OA System (CVE-2025-29690)
Fecha de publicación:
14/05/2025
Idioma:
Español
Una vulnerabilidad de Cross-Site Scripting (XSS) en OA System anterior a v2025.01.01 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro outtype en /address/AddrController.java.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/05/2025

Vulnerabilidad en Pichome (CVE-2025-44024)
Fecha de publicación:
14/05/2025
Idioma:
Español
Se descubrió una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Pichome v2.1.0 y versiones anteriores. Esta vulnerabilidad existe debido a una limpieza insuficiente de la información del usuario en el formulario de inicio de sesión. Un atacante puede inyectar código JavaScript malicioso en los campos de nombre de usuario o contraseña durante el proceso de inicio de sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/05/2025

Vulnerabilidad en WS-WN572HP3 V230525 (CVE-2025-44879)
Fecha de publicación:
14/05/2025
Idioma:
Español
Se descubrió que WS-WN572HP3 V230525 contenía un desbordamiento de búfer en el componente /www/cgi-bin/upload.cgi. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante una solicitud HTTP manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/05/2025

Vulnerabilidad en Jenkins WSO2 Oauth Plugin (CVE-2025-47889)
Fecha de publicación:
14/05/2025
Idioma:
Español
Jenkins WSO2 Oauth Plugin 1.0 y versiones anteriores, las solicitudes de autenticación se aceptan sin validación por el ámbito de seguridad "WSO2 Oauth", lo que permite que atacantes no autenticados inicien sesión en los controladores que utilizan este ámbito de seguridad con cualquier nombre de usuario y cualquier contraseña, incluidos nombres de usuario que no existen.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/06/2025

Vulnerabilidad en Jenkins DingTalk Plugin (CVE-2025-47888)
Fecha de publicación:
14/05/2025
Idioma:
Español
Jenkins DingTalk Plugin 2.7.3 y versiones anteriores deshabilitan incondicionalmente la validación del certificado SSL/TLS y del nombre de host para las conexiones a los webhooks DingTalk configurados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en Jenkins Cadence vManager Plugin (CVE-2025-47887)
Fecha de publicación:
14/05/2025
Idioma:
Español
Las comprobaciones de permisos faltantes en Jenkins Cadence vManager Plugin 4.0.1-286.v9e25a_740b_a_48 y versiones anteriores permiten que atacantes con permiso general/de lectura se conecten a una URL especificada por el atacante utilizando el nombre de usuario y la contraseña especificados por el atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en Jenkins Cadence vManager Plugin (CVE-2025-47886)
Fecha de publicación:
14/05/2025
Idioma:
Español
Una vulnerabilidad de cross-site request forgery (CSRF) en Jenkins Cadence vManager Plugin 4.0.1-286.v9e25a_740b_a_48 y versiones anteriores permite a los atacantes conectarse a una URL especificada por el atacante utilizando un nombre de usuario y una contraseña especificados por el atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en Jenkins Health Advisor by CloudBees Plugin (CVE-2025-47885)
Fecha de publicación:
14/05/2025
Idioma:
Español
Jenkins Health Advisor by CloudBees Plugin 374.v194b_d4f0c8c8 y anteriores no escapa a las respuestas del servidor Jenkins Health Advisor, lo que genera una vulnerabilidad de cross-site scripting (XSS) almacenado que puede ser explotada por atacantes capaces de controlar las respuestas del servidor Jenkins Health Advisor.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en Jenkins OpenID Connect Provider Plugin (CVE-2025-47884)
Fecha de publicación:
14/05/2025
Idioma:
Español
Jenkins OpenID Connect Provider Plugin 96.vee8ed882ec4d y versiones anteriores, la generación de tokens de ID de compilación utiliza valores potencialmente anulados de variables de entorno, junto con otros complementos determinados, lo que permite a los atacantes configurar trabajos para manipular un token de ID de compilación que suplanta a un trabajo confiable, lo que potencialmente le permite obtener acceso no autorizado a servicios externos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/06/2025

Vulnerabilidad en Samsung Mobile Processor, Wearable Processor, y Modem Exynos (CVE-2025-27891)
Fecha de publicación:
14/05/2025
Idioma:
Español
Se descubrió un problema en Samsung Mobile Processor, Wearable Processor, y Modem Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, W920, W930, W1000, módem 5123, módem 5300 y módem 5400. La falta de una verificación de longitud provoca lecturas fuera de los límites a través de paquetes NAS malformados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/07/2025

Vulnerabilidad en Samsung Mobile Processor y Wearable Processor Exynos (CVE-2024-56427)
Fecha de publicación:
14/05/2025
Idioma:
Español
Se descubrió un problema en Samsung Mobile Processor y Wearable Processor Exynos 9820, 9825, 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, W920, W930, W1000, Modem 5123, Modem 5300 y Modem 5400. La falta de una verificación de longitud provoca un acceso fuera de los límites a través de paquetes RRC malformados al destino.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2025

Vulnerabilidad en Samsung Mobile Processor, Wearable Processor, y Modem Exynos (CVE-2025-26783)
Fecha de publicación:
14/05/2025
Idioma:
Español
Se descubrió un problema en Samsung Mobile Processor, Wearable Processor, y Modem Exynos 2100, 1280, 2200, 1330, 1380, 1480, 2400, W1000, módems 5300 y 5400. El manejo incorrecto de valores no definidos conduce a una denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/07/2025
Suscribirse a Vulnerabilidades