Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WP STAGING Pro WordPress Backup para WordPress (CVE-2025-3104)

Fecha de publicación:
16/04/2025
Idioma:
Español
El complemento WP STAGING Pro WordPress Backup para WordPress es vulnerable a la exposición de información en todas las versiones hasta la 6.1.2 incluida, debido a la falta de comprobaciones de capacidad en la función getOutdatedPluginsRequest(). Esto permite que atacantes no autenticados revelen complementos instalados, activos o inactivos, obsoletos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/04/2025

Vulnerabilidad en lm-sys fastchat (CVE-2025-3677)

Fecha de publicación:
16/04/2025
Idioma:
Español
Se detectó una vulnerabilidad crítica en lm-sys fastchat hasta la versión 0.2.36. Esta vulnerabilidad afecta la función split_files/apply_delta_low_cpu_mem del archivo fastchat/model/apply_delta.py. La manipulación provoca la deserialización. El ataque debe abordarse localmente.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/04/2025

Vulnerabilidad en PCMan FTP Server 2.0.7 (CVE-2025-3678)

Fecha de publicación:
16/04/2025
Idioma:
Español
Se ha detectado una vulnerabilidad clasificada como crítica en PCMan FTP Server 2.0.7. Este problema afecta a un procesamiento desconocido del componente HELP Command Handler. La manipulación provoca un desbordamiento del búfer. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/05/2025

Vulnerabilidad en Rancher (CVE-2024-22036)

Fecha de publicación:
16/04/2025
Idioma:
Español
Se ha identificado una vulnerabilidad en Rancher que permite usar un controlador de clúster o nodo para escapar del entorno chroot y obtener acceso root al contenedor de Rancher. En entornos de producción, es posible una mayor escalada de privilegios al usar el espacio dentro del contenedor de Rancher. En los entornos de prueba y desarrollo, basados en un contenedor Docker con privilegios, es posible escapar del contenedor Docker y obtener acceso de ejecución en el sistema host. Este problema afecta a Rancher: de la versión 2.7.0 a la 2.7.16, de la versión 2.8.0 a la 2.8.9 y de la versión 2.9.0 a la 2.9.3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/04/2025

Vulnerabilidad en SUSE Rancher (CVE-2024-52281)

Fecha de publicación:
16/04/2025
Idioma:
Español
A: La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web en SUSE Rancher permite a un agente malicioso realizar un ataque XSS almacenado a través del campo de descripción del clúster. Este problema afecta a Rancher desde la versión 2.9.0 hasta la 2.9.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/04/2025

Vulnerabilidad en SUSE Rancher en RoleTemplateobjects (CVE-2023-32197)

Fecha de publicación:
16/04/2025
Idioma:
Español
Una vulnerabilidad de administración incorrecta de privilegios en SUSE Rancher en RoleTemplateobjects cuando external=true está configurado puede provocar una escalada de privilegios en escenarios específicos. Este problema afecta a Rancher: desde la versión 2.7.0 hasta la 2.7.14, desde la versión 2.8.0 hasta la 2.8.5.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/04/2025

Vulnerabilidad en Mattermost (CVE-2025-27538)

Fecha de publicación:
16/04/2025
Idioma:
Español
Las versiones de Mattermost 10.5.x <= 10.5.1, 9.11.x <= 9.11.9 no implementan las comprobaciones de MFA en PUT /api/v4/users/user-id/mfa cuando el usuario solicitante difiere del ID del usuario de destino, lo que permite a los usuarios con permiso edit_other_users activar o desactivar MFA para otros usuarios, incluso si esos usuarios no han configurado MFA.
Gravedad CVSS v3.1: BAJA
Última modificación:
16/04/2025

Vulnerabilidad en Mattermost (CVE-2025-27571)

Fecha de publicación:
16/04/2025
Idioma:
Español
Las versiones de Mattermost 10.5.x <= 10.5.1, 10.4.x <= 10.4.3, 9.11.x <= 9.11.9 no marcan la configuración "Permitir a los usuarios ver canales archivados" al obtener los metadatos del canal de una publicación de canales archivados, lo que permite que los usuarios autenticados accedan a dicha información cuando un canal está archivado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/04/2025

Vulnerabilidad en xxyopen Novel-Plus 3.5.0 (CVE-2025-3676)

Fecha de publicación:
16/04/2025
Idioma:
Español
Se ha detectado una vulnerabilidad crítica en xxyopen Novel-Plus 3.5.0. Esta afecta a una parte desconocida del archivo /api/front/search/books. La manipulación del argumento sort provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en Betheme para WordPress (CVE-2025-3077)

Fecha de publicación:
16/04/2025
Idioma:
Español
El tema Betheme para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode del botón y el campo CSS personalizado del complemento en todas las versiones hasta la 28.0.3 incluida, debido a una depuración de entrada y al escape de salida insuficiente en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en Mattermost (CVE-2025-24839)

Fecha de publicación:
16/04/2025
Idioma:
Español
Las versiones de Mattermost 10.5.x <= 10.5.1, 10.4.x <= 10.4.3 y 9.11.x <= 9.11.9 no impiden que las publicaciones de Wrangler activen respuestas de la IA. Esta vulnerabilidad permite a los usuarios sin acceso al bot de IA activarlo adjuntando la propiedad de anulación activate_ai a una publicación mediante el complemento de Wrangler, siempre que ambos complementos estén habilitados.
Gravedad CVSS v3.1: BAJA
Última modificación:
16/04/2025

Vulnerabilidad en WAGO GmbH & Co. KG (CVE-2025-0101)

Fecha de publicación:
16/04/2025
Idioma:
Español
Un usuario con pocos privilegios puede establecer la fecha de los dispositivos al 19 de enero de 2038 y, por lo tanto, superar el límite de 32 bits. Esto provoca que algunas funciones se ejecuten inesperadamente o dejen de funcionar, tanto durante la ejecución como después de un reinicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/04/2025