Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IDENTIFICADOR NO VÁLIDO (CVE-2025-48874)
Fecha de publicación:
30/05/2025
Idioma:
Español
Razón rechazado: ** Rechazo ** No use este número de candidato. Consultids: CVE-2025-5257. Razón: este candidato es un duplicado de CVE-2025-5257. Notas: Todos los usuarios de CVE deben hacer referencia a CVE-2025-5257 en lugar de este candidato. Todas las referencias y descripciones en este candidato se han eliminado para evitar el uso accidental.
Gravedad: Pendiente de análisis
Última modificación:
30/05/2025

Vulnerabilidad en Lenovo PC Manager (CVE-2025-2501)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se informó de una vulnerabilidad de ruta de búsqueda no confiable en Lenovo PC Manager que podría permitir que un atacante local eleve privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/06/2025

Vulnerabilidad en Lenovo PC Manager (CVE-2025-2502)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se informó de una vulnerabilidad de permisos predeterminados incorrectos en Lenovo PC Manager que podría permitir que un atacante local eleve privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/06/2025

Vulnerabilidad en Lenovo PC Manager (CVE-2025-2503)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se informó de una vulnerabilidad de manejo inadecuado de permisos en Lenovo PC Manager que podría permitir que un atacante local realice eliminaciones arbitrarias de archivos como un usuario elevado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/06/2025

Vulnerabilidad en Legion Space (CVE-2025-1479)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se informó de una interfaz de depuración abierta en el software Legion Space incluido en ciertos dispositivos Legion que podría permitir que un atacante local ejecute código arbitrario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/06/2025

Vulnerabilidad en Campcodes Online Hospital Management System 1.0 (CVE-2025-5359)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se ha detectado una vulnerabilidad crítica en Campcodes Online Hospital Management System 1.0. Esta afecta a una parte desconocida del archivo /appointment-history.php. La manipulación del ID del argumento provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en vLLM (CVE-2025-48943)
Fecha de publicación:
30/05/2025
Idioma:
Español
vLLM es un motor de inferencia y servicio para modelos de lenguaje grandes (LLM). Las versiones 0.8.0 y 0.9.0, excepto esta, presentan una vulnerabilidad de denegación de servicio (ReDoS) que provoca el bloqueo del servidor vLLM si se proporciona una expresión regular no válida al usar la salida estructurada. Esta vulnerabilidad es similar a GHSA-6qc9-v4r8-22xg/CVE-2025-48942, pero para expresiones regulares en lugar de un esquema JSON. La versión 0.9.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/06/2025

Vulnerabilidad en vLLM (CVE-2025-48942)
Fecha de publicación:
30/05/2025
Idioma:
Español
vLLM es un motor de inferencia y servicio para modelos de lenguaje grandes (LLM). En las versiones 0.8.0 y 0.9.0, excepto esta, al acceder a la API /v1/completions con un json_schema no válido como parámetro guiado, se desactiva el servidor vllm. Esta vulnerabilidad es similar a la vulnerabilidad GHSA-9hcf-v7m4-6m2j/CVE-2025-48943, pero para expresiones regulares en lugar de un esquema JSON. La versión 0.9.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/06/2025

Vulnerabilidad en vLLM (CVE-2025-48944)
Fecha de publicación:
30/05/2025
Idioma:
Español
vLLM es un motor de inferencia y servicio para modelos de lenguaje grandes (LLM). Desde la versión 0.8.0 hasta la 0.9.0 (excluyendo esta última), el backend de vLLM utilizado con el endpoint de OpenAPI /v1/chat/completions no valida entradas inesperadas o incorrectas en los campos "patrón" y "tipo" al invocar la funcionalidad de herramientas. Estas entradas no se validan antes de compilarse o analizarse, lo que provoca un bloqueo del trabajador de inferencia con una sola solicitud. El trabajador permanece inactivo hasta que se reinicia. La versión 0.9.0 corrige este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2025

Vulnerabilidad en Chrome PHP (CVE-2025-48883)
Fecha de publicación:
30/05/2025
Idioma:
Español
Chrome PHP permite a los usuarios empezar a experimentar con Chrome/Chromium en modo headless desde PHP. Antes de la versión 1.14.0, las expresiones del selector CSS no se codificaban correctamente, lo que podía provocar vulnerabilidades XSS (cross-site scripting). Esto se solucionó en la versión 1.14.0. Como workaround, los usuarios pueden aplicar la codificación manualmente a sus selectores si no pueden actualizar.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/06/2025

Vulnerabilidad en application-urlshortener (CVE-2025-48885)
Fecha de publicación:
30/05/2025
Idioma:
Español
application-urlshortener crea URLs acortadas para páginas XWiki. Las versiones anteriores a la 1.2.4 son vulnerables a que los usuarios con acceso de vista puedan crear páginas arbitrarias. Cualquier usuario (incluso invitados) puede crear estos documentos, incluso si no existen. Esto puede permitir que los invitados desnaturalicen la estructura de las páginas wiki, creando miles de páginas con nombres aleatorios, que luego se vuelven muy difíciles de gestionar para los administradores. La versión 1.2.4 soluciona el problema. No se conocen workarounds.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/06/2025

Vulnerabilidad en go-gh (CVE-2025-48938)
Fecha de publicación:
30/05/2025
Idioma:
Español
go-gh es una colección de módulos de Go que facilita la creación de extensiones de la CLI de GitHub. Se identificó una vulnerabilidad de seguridad en versiones anteriores a la 2.12.1, donde un servidor de GitHub Enterprise controlado por un atacante podía ejecutar comandos arbitrarios en el equipo de un usuario al reemplazar las URL HTTP proporcionadas por GitHub con rutas de archivos locales para la navegación. En la versión 2.12.1, se mejoró `Browser.Browse()` para permitir y deshabilitar diversos escenarios y evitar la apertura o ejecución de archivos en el sistema de archivos sin afectar negativamente a las URL HTTP. No se conocen workarounds aparte de la actualización.
Gravedad CVSS v4.0: BAJA
Última modificación:
02/06/2025
Suscribirse a Vulnerabilidades