Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Kirby (CVE-2025-30207)

Fecha de publicación:
13/05/2025
Idioma:
Español
Kirby es un sistema de gestión de contenido de código abierto. Una vulnerabilidad en versiones anteriores a 3.9.8.3, 3.10.1.2 y 4.7.1 afecta a todas las configuraciones de Kirby que utilizan el servidor integrado de PHP. Estas configuraciones suelen utilizarse solo durante el desarrollo local. Los sitios que utilizan otro software de servidor (como Apache, nginx o Caddy) no se ven afectados. La falta de una comprobación de path traversal permitió a los atacantes navegar por todos los archivos del servidor accesibles para el proceso PHP, incluidos los archivos fuera de la instalación de Kirby. La implementación vulnerable delegó todos los archivos existentes a PHP, incluidos los existentes fuera del root del documento. Esto genera una respuesta diferente que permite a los atacantes determinar si el archivo solicitado existe. Dado que el enrutador de Kirby solo delega dichas solicitudes a PHP y no las carga ni las ejecuta, el contenido de los archivos no se expuso, ya que PHP trata las solicitudes a archivos fuera del root del documento como no válidas. El problema se ha corregido en Kirby 3.9.8.3, Kirby 3.10.1.2 y Kirby 4.7.1. En todas las versiones mencionadas, los mantenedores de Kirby han actualizado el enrutador para comprobar si los archivos estáticos existentes se encuentran en el root del documento. Las solicitudes a archivos fuera del root del documento se tratan como solicitudes de página de la página de error y ya no permiten determinar si el archivo existe o no.
Gravedad CVSS v4.0: BAJA
Última modificación:
13/05/2025

Vulnerabilidad en MITRE (CVE-2025-28056)

Fecha de publicación:
13/05/2025
Idioma:
Español
La reconstrucción de v3.9.0 a v3.9.3 tiene una vulnerabilidad de inyección SQL en el componente /admin/admin-cli/exec.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/06/2025

Vulnerabilidad en MITRE (CVE-2025-28055)

Fecha de publicación:
13/05/2025
Idioma:
Español
bother-gal-web v7.1.0 /api/music/v1/cover.ts contiene una vulnerabilidad de lectura de archivos arbitrarios
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2025

Vulnerabilidad en OXID eShop (CVE-2024-56526)

Fecha de publicación:
13/05/2025
Idioma:
Español
Se descubrió un problema en OXID eShop anterior a la versión 7. Las páginas CMS en combinación con Smarty pueden mostrar información del usuario si una página CMS contiene un error de sintaxis de Smarty.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en Ivanti Neurons (CVE-2025-22462)

Fecha de publicación:
13/05/2025
Idioma:
Español
Una omisión de autenticación en Ivanti Neurons para ITSM (solo local) anterior a 2023.4, 2024.2 y 2024.3 con el parche de seguridad de mayo de 2025 permite que un atacante remoto no autenticado obtenga acceso administrativo al sistema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/07/2025

Vulnerabilidad en NetAlertX (CVE-2024-46506)

Fecha de publicación:
13/05/2025
Idioma:
Español
NetAlertX 23.01.14 a 24.x antes de 24.10.12 permite la inyección de comandos no autenticados a través de la actualización de la configuración porque function=savesettings carece de un requisito de autenticación, como se explotó en la naturaleza en mayo de 2025. Esto está relacionado con settings.php y util.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/06/2025

Vulnerabilidad en NetAlertX (CVE-2024-48766)

Fecha de publicación:
13/05/2025
Idioma:
Español
NetAlertX 24.7.18 anterior a 24.10.12 permite la lectura de archivos no autenticados porque un cliente HTTP puede ignorar una redirección y debido a factores relacionados con strpos y el directory traversal, como se explotó en la naturaleza en mayo de 2025. Esto está relacionado con components/logs.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/06/2025

Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-45859)

Fecha de publicación:
13/05/2025
Idioma:
Español
Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contiene un desbordamiento de búfer a través del parámetro bandstr en la interfaz formMapDelDevice.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2025

Vulnerabilidad en EngineerCMS (CVE-2025-44831)

Fecha de publicación:
13/05/2025
Idioma:
Español
EngineerCMS v1.02 a v2.0.5 tiene una vulnerabilidad de inyección SQL en la interfaz /project/addproject.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2025

Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-45867)

Fecha de publicación:
13/05/2025
Idioma:
Español
Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contiene un desbordamiento de búfer a través del parámetro static_dns1 en la interfaz formIpv6Setup.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2025

Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-45866)

Fecha de publicación:
13/05/2025
Idioma:
Español
Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contiene un desbordamiento de búfer a través del parámetro addrPoolEnd en la interfaz formDhcpv6s.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2025

Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-45864)

Fecha de publicación:
13/05/2025
Idioma:
Español
Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contiene un desbordamiento de búfer a través del parámetro addrPoolStart en la interfaz formDhcpv6s.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2025