Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WEGIA (CVE-2025-26608)
Fecha de publicación:
18/02/2025
Idioma:
Español
WEGIA es un administrador web de código abierto para instituciones con un enfoque en los usuarios de idiomas portugueses. Se descubrió una vulnerabilidad de inyección SQL en la aplicación WEGIA, `dependiente_docdependente.php` endpoint. Esta vulnerabilidad podría permitir que un atacante ejecute consultas SQL arbitrarias, lo que permite el acceso no autorizado a información confidencial. Este problema se ha abordado en la versión 3.2.13 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
28/02/2025

Vulnerabilidad en WEGIA (CVE-2025-26605)
Fecha de publicación:
18/02/2025
Idioma:
Español
WEGIA es un administrador web de código abierto para instituciones con un enfoque en los usuarios de idiomas portugueses. Se descubrió una vulnerabilidad de inyección SQL en la aplicación WEGIA, `Deletar_cargo.php` endpoint. Esta vulnerabilidad podría permitir que un atacante autorizado ejecute consultas SQL arbitrarias, permitiendo el acceso a información confidencial. Este problema se ha abordado en la versión 3.2.13 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
10/04/2025

Vulnerabilidad en AWSM.in Drivr Lite-Google Drive Plugin (CVE-2025-27016)
Fecha de publicación:
18/02/2025
Idioma:
Español
Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en AWSM.in Drivr Lite-Google Drive Plugin permite XSS almacenado. Este problema afecta a DRIVR Lite - complemento de Google Drive: desde N/A hasta 1.0.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2025

Vulnerabilidad en Discord-Bot-Framework-Kernel (CVE-2025-26604)
Fecha de publicación:
18/02/2025
Idioma:
Español
Discord-Bot-Framework-Kernel es un framework de bots de Discord creado con interactions.py, que cuenta con administración de extensiones modulares y ejecución segura. Debido a la naturaleza de la ejecución de código arbitrario enviado por el usuario, esto le permite al usuario ejecutar código potencialmente malicioso para causar daños o extraer información confidencial. Al cargar el módulo que contiene el siguiente código y ejecutar el comando, se puede extraer el token del bot. Luego, el atacante puede cargar un módulo de bloqueo para sabotear el bot (ataque DDoS) y el token se puede usar para hacer que el bot falso actúe como el real. Si el bot tiene privilegios muy altos, el atacante básicamente tiene control total antes de que el usuario expulse al bot. Cualquier usuario de Discord que aloje Discord-Bot-Framework-Kernel antes del commit f0d9e70841a0e3170b88c4f8d562018ccd8e8b14 se ve afectado. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden intentar limitar el acceso de su bot de Discord a través de las opciones de configuración.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2025

Vulnerabilidad en Exiv2 (CVE-2025-26623)
Fecha de publicación:
18/02/2025
Idioma:
Español
Exiv2 es un C ++ librería y una utilidad de línea de comandos para leer, escribir, eliminar y modificar los metadatos de imagen EXIF, IPTC, XMP e ICC. Se encontró un desbordamiento del búfer Heap en las versiones EXIV2 V0.28.0 a V0.28.4. Las versiones anteriores a V0.28.0, como V0.27.7, ** no ** son afectadas. Exiv2 es una utilidad de línea de comandos y una biblioteca de C++ para leer, escribir, eliminar y modificar los metadatos de archivos de imagen. El desbordamiento del montón se activa cuando Exiv2 se usa para escribir metadatos en un archivo de imagen manipulado. Un atacante podría explotar la vulnerabilidad para obtener la ejecución del código, si puede engañar a la víctima para que ejecute Exiv manipulado Archivo de imagen elaborado. Tenga en cuenta que este error solo se activa al escribir los metadatos, que es una operación exiv2 de uso menos frecuente que leer los metadatos. Por ejemplo, para activar el error en la aplicación de línea de comandos Exiv2, debe agregar un argumento de línea de comandos adicional como `FixISO`. El error se soluciona en la versión v0.28.5. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/02/2025

Vulnerabilidad en EPC MediCenter - Health Medical Clinic WordPress Theme (CVE-2025-27013)
Fecha de publicación:
18/02/2025
Idioma:
Español
Vulnerabilidad de autorización faltante en EPC MediCenter - Health Medical Clinic WordPress Theme permite explotar los niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta el tema Medicenter - WordPress de la clínica médica de salud: desde N/A hasta N/A.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2025

Vulnerabilidad en Oscar Alvarez Cookie Monster (CVE-2025-22656)
Fecha de publicación:
18/02/2025
Idioma:
Español
Control inadecuado del nombre de archivo para la declaración de inclusión de incluir/requerir en la vulnerabilidad del programa PHP ('PHP Remote File Anchusion') en Oscar Alvarez Cookie Monster permite la inclusión de archivos locales de PHP. Este problema afecta a Cookie Monster: desde N/A hasta 1.2.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2025

Vulnerabilidad en Vito Peleg Atarim (CVE-2025-22657)
Fecha de publicación:
18/02/2025
Idioma:
Español
La vulnerabilidad de la autorización faltante en Vito Peleg Atarim permite explotar los niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Atarim: desde N/A hasta 4.0.9.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2025

Vulnerabilidad en videowhisper Paid Videochat Turnkey Site (CVE-2025-22663)
Fecha de publicación:
18/02/2025
Idioma:
Español
Limitación inadecuada de un nombre de ruta a un directorio restringido ('Path Traversal') Vulnerabilidad en videowhisper Paid Videochat Turnkey Site permite Path Traversal. Este problema afecta el sitio llave en mano de VideoChat pagado: desde N/A hasta 7.2.12.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2025

Vulnerabilidad en NotFound Distance Rate Shipping for WooCommerce (CVE-2025-22639)
Fecha de publicación:
18/02/2025
Idioma:
Español
La neutralización inadecuada de elementos especiales utilizados en un comando SQL ('inyección SQL') vulnerabilidad en NotFound Distance Rate Shipping for WooCommerce permite Blind SQL inyección. Este problema afecta el envío de la tasa de distancia para WooCommerce: desde N/A hasta 1.3.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2025

Vulnerabilidad en Rameez Iqbal Real Estate Manager (CVE-2025-22645)
Fecha de publicación:
18/02/2025
Idioma:
Español
La restricción inadecuada de los intentos de autenticación excesivos de vulnerabilidad en Rameez Iqbal Real Estate Manager permite el forzamiento bruto de contraseña. Este problema afecta al administrador de bienes raíces: desde N/A hasta 7.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2025

Vulnerabilidad en Erez Hadas-Sonnenschein Smartarget (CVE-2025-22650)
Fecha de publicación:
18/02/2025
Idioma:
Español
La neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en Erez Hadas-Sonnenschein Smartarget permite XSS almacenado. Este problema afecta a Smartarget: desde N/A hasta 1.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2025
Suscribirse a Vulnerabilidades