Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WSO2 (CVE-2024-7097)
Fecha de publicación:
30/05/2025
Idioma:
Español
Existe una vulnerabilidad de autorización incorrecta en varios productos WSO2 debido a una falla en el servicio de administración SOAP, que permite la creación de cuentas de usuario independientemente de la configuración de autorregistro. Esta vulnerabilidad permite a actores maliciosos crear nuevas cuentas de usuario sin la debida autorización. La explotación de esta falla podría permitir a un atacante crear múltiples cuentas de usuario con privilegios bajos, obteniendo así acceso no autorizado al sistema. Además, la explotación continua podría provocar el agotamiento de los recursos del sistema mediante la creación masiva de usuarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en Collaborative Industry Innovator (CVE-2025-0602)
Fecha de publicación:
30/05/2025
Idioma:
Español
Una vulnerabilidad de Cross-site Scripting (XSS) Almacenado que afecta a Compare en Collaborative Industry Innovator desde la versión 3DEXPERIENCE R2023x hasta la versión 3DEXPERIENCE R2025x permite que un atacante ejecute código de script arbitrario en la sesión del navegador del usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/05/2025

Vulnerabilidad en Mattermost (CVE-2025-1792)
Fecha de publicación:
30/05/2025
Idioma:
Español
Las versiones de Mattermost 10.7.x <= 10.7.0, 10.5.x <= 10.5.3, 9.11.x <= 9.11.12 no implementan correctamente los controles de acceso para los usuarios invitados que acceden a la información de los miembros del canal, lo que permite que los usuarios invitados autenticados vean metadatos sobre los miembros de los canales públicos a través del endpoint de la API de miembros del canal.
Gravedad CVSS v3.1: BAJA
Última modificación:
30/05/2025

Vulnerabilidad en Mattermost (CVE-2025-2571)
Fecha de publicación:
30/05/2025
Idioma:
Español
Las versiones de Mattermost 10.7.x <= 10.7.0, 10.6.x <= 10.6.2, 10.5.x <= 10.5.3, 9.11.x <= 9.11.12 no borran las credenciales de Google OAuth al convertir cuentas de usuario en cuentas de bot, lo que permite a los atacantes obtener acceso no autorizado a las cuentas de bot a través del flujo de registro de Google OAuth.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en systemd-coredump de Linux (CVE-2025-4598)
Fecha de publicación:
30/05/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad en systemd-coredump. Este fallo permite a un atacante forzar un proceso SUID para que deje de funcionar y reemplazarlo con un no-SUID binario para acceder al proceso original y con privilegios coredump; lo que permite al atacante leer información sensible, como el contenido de /etc/shadow, cargado por el proceso original. Un binario SUID o proceso tiene un tipo especial de permiso que faculta al proceso a ejecutarse con los permisos del propietario del fichero, independientemente de quién sea el usuario que ejecuta el binario. Esto permite al proceso acceder a datos más restringidos que a un usuario sin privilegios o a un proceso. Un atacante puede aprovechar este fallo forzando la caída de un proceso SUID y haciendo que el kernel de Linux recicle el PID del proceso antes de que systemd-coredump pueda analizar el fichero /proc/pid/auxv. Si el atacante gana la condición de carrera, obtiene acceso al fichero coredump del proceso SUID original y puede leer contenido sensible cargado en la memoria por el binario original, lo que afecta a la confidencialidad de la información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2025

Vulnerabilidad en Vanquish WooCommerce Orders & Customers Exporter (CVE-2025-48331)
Fecha de publicación:
30/05/2025
Idioma:
Español
La vulnerabilidad de inserción de información confidencial en los datos enviados en Vanquish WooCommerce Orders & Customers Exporter permite recuperar datos confidenciales integrados. Este problema afecta a WooCommerce Orders & Customers Exporter: desde n/d hasta 5.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/05/2025

Vulnerabilidad en Devolutions Server (CVE-2025-4433)
Fecha de publicación:
30/05/2025
Idioma:
Español
El control de acceso inadecuado en la administración de grupos de usuarios en Devolutions Server 2025.1.7.0 y versiones anteriores permite que un usuario no administrativo con permisos de "Administración de usuarios" y "Administración de grupos de usuarios" realice una escalada de privilegios agregando usuarios a grupos con privilegios administrativos.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2025

Vulnerabilidad en SOAP Web (CVE-2025-2500)
Fecha de publicación:
30/05/2025
Idioma:
Español
Existe una vulnerabilidad en SOAP Web de las versiones de Asset Suite que se indican a continuación. Si se explota con éxito, un atacante podría obtener acceso no autorizado al producto y ampliar el plazo para un posible ataque de contraseña.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
30/05/2025

Vulnerabilidad en Perl (CVE-2025-40909)
Fecha de publicación:
30/05/2025
Idioma:
Español
Los subprocesos de Perl tienen una condición de ejecución en el directorio de trabajo donde las operaciones con archivos pueden dirigirse a rutas no deseadas. Si un identificador de directorio está abierto al crear el subproceso, el directorio de trabajo actual de todo el proceso se modifica temporalmente para clonar dicho identificador para el nuevo subproceso, visible desde cualquier tercer subproceso (o más) en ejecución. Esto puede provocar operaciones no deseadas, como la carga de código o el acceso a archivos desde ubicaciones inesperadas, que un atacante local podría explotar. El error se introdujo en el commit 11a11ecf4bea72b17d250cfb43c897be1341861e y se publicó en la versión 5.13.6 de Perl.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2025

Vulnerabilidad en Asset Suite (CVE-2025-1484)
Fecha de publicación:
30/05/2025
Idioma:
Español
Existe una vulnerabilidad en el componente de carga de medios de las versiones de Asset Suite que se indican a continuación. Si se explota con éxito, un atacante podría afectar la confidencialidad o la integridad del sistema. Un atacante puede usar esta vulnerabilidad para crear una solicitud que haga que el código JavaScript proporcionado por el atacante se ejecute en el navegador del usuario durante su sesión en la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en Browse As para WordPress (CVE-2025-5190)
Fecha de publicación:
30/05/2025
Idioma:
Español
El complemento Browse As para WordPress es vulnerable a la omisión de autenticación en versiones hasta la 0.2 incluida. Esto se debe a una comprobación de autenticación incorrecta en la función 'IS_BA_Browse_As::notice' con el valor de cookie 'is_ba_original_user_COOKIEHASH'. Esto permite que atacantes autenticados, con permisos de suscriptor o superiores, inicien sesión como cualquier usuario del sitio, como un administrador, si tienen acceso al ID de usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/05/2025

Vulnerabilidad en Woo Slider Pro – Drag Drop Slider Builder para WooCommerce para WordPress (CVE-2025-4597)
Fecha de publicación:
30/05/2025
Idioma:
Español
El complemento Woo Slider Pro – Drag Drop Slider Builder para WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidad en la acción AJAX woo_slide_pro_delete_draft_preview en todas las versiones hasta la 1.12 incluida. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, eliminen publicaciones arbitrarias.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025
Suscribirse a Vulnerabilidades