Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Bboldthemes Bold Pag (CVE-2025-58194)
Fecha de publicación:
27/08/2025
Idioma:
Español
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') en Bboldthemes Bold Pag permite XSS almacenado. Este problema afecta a Bold Page Builder desde n/d hasta la versión 5.4.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en Xylus Themes WP Bulk Delete (CVE-2025-58192)
Fecha de publicación:
27/08/2025
Idioma:
Español
La vulnerabilidad de falta de autorización en Xylus Themes WP Bulk Delete permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a WP Bulk Delete desde la versión n/d hasta la 1.3.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2026

Vulnerabilidad en NodeBB v4.3.0 (CVE-2025-50979)
Fecha de publicación:
27/08/2025
Idioma:
Español
NodeBB v4.3.0 es vulnerable a la inyección de SQL en su punto final de la API de categorías de búsqueda (/api/v3/search/categories). El parámetro de consulta de búsqueda no está correctamente depurado, lo que permite a atacantes remotos no autenticados inyectar payloads ciegos basadas en booleanos y basadas en errores de PostgreSQL.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/09/2025

Vulnerabilidad en Kubernetes (CVE-2025-5187)
Fecha de publicación:
27/08/2025
Idioma:
Español
Existe una vulnerabilidad en el controlador de admisión NodeRestriction de los clústeres de Kubernetes, donde los usuarios de los nodos pueden eliminar su objeto de nodo correspondiente al aplicar una referencia de propietario a un recurso del clúster. Si el recurso OwnerReference no existe o se elimina posteriormente, el objeto de nodo en cuestión se eliminará mediante la recolección de elementos no utilizados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en Basecamp's Google Sign-In adds Google sign-in to Rails applications (CVE-2025-57821)
Fecha de publicación:
27/08/2025
Idioma:
Español
El inicio de sesión de Google de Basecamp incorpora el inicio de sesión de Google a las aplicaciones Rails. Antes de la versión 1.3.0, era posible manipular una URL mal formada que superara la comprobación de "mismo origen", lo que provocaba que el usuario fuera redirigido a otro origen. Las aplicaciones Rails configuradas para almacenar la información flash en una cookie de sesión pueden ser vulnerables si esto se combina con un ataque que permita la inyección de datos arbitrarios en la cookie de sesión. Este problema se ha corregido en la versión 1.3.0. Si la actualización no es posible en este momento, se puede mitigar el ataque encadenado configurando explícitamente SameSite=Lax o SameSite=Strict en la cookie de sesión de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en RaspAP raspap-webgui (CVE-2025-50428)
Fecha de publicación:
27/08/2025
Idioma:
Español
En RaspAP raspap-webgui 3.3.2 y versiones anteriores, existe una vulnerabilidad de inyección de comandos en el script "includes/hostapd.php". Esta vulnerabilidad se debe a una depuración incorrecta de la entrada del usuario enviada a través del parámetro de interfaz.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/09/2025

Vulnerabilidad en Angular (CVE-2025-50977)
Fecha de publicación:
27/08/2025
Idioma:
Español
Se ha identificado una vulnerabilidad de inyección de plantillas que provoca Cross Site Scripting (XSS) reflejado en la versión 1.7.1, que requiere acceso de administrador autenticado para su explotación. La vulnerabilidad se encuentra en el parámetro 'r' y permite a los atacantes inyectar expresiones maliciosas de Angular que ejecutan código JavaScript en el contexto de la aplicación. La falla puede explotarse mediante solicitudes GET al endpoint de resumen, así como mediante solicitudes POST a endpoints específicos de la interfaz Wicket, aunque el método GET facilita su uso como arma. Esta vulnerabilidad permite a los administradores autenticados ejecutar código arbitrario del lado del cliente, lo que podría provocar secuestro de sesiones, robo de datos o nuevos ataques de escalada de privilegios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/09/2025

Vulnerabilidad en Coolify (CVE-2025-34159)
Fecha de publicación:
27/08/2025
Idioma:
Español
Las versiones de Coolify anteriores a la v4.0.0-beta.420.6 son vulnerables a una vulnerabilidad de ejecución remota de código en el flujo de trabajo de implementación de aplicaciones. La plataforma permite a usuarios autenticados, con privilegios de miembro de bajo nivel, inyectar directivas arbitrarias de Docker Compose durante la creación del proyecto. Al manipular una definición de servicio maliciosa que monta el sistema de archivos raíz del host, un atacante puede obtener acceso root completo al servidor subyacente.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
19/09/2025

Vulnerabilidad en Coolify (CVE-2025-34161)
Fecha de publicación:
27/08/2025
Idioma:
Español
Las versiones de Coolify anteriores a la v4.0.0-beta.420.7 son vulnerables a una vulnerabilidad de ejecución remota de código en el flujo de trabajo de implementación del proyecto. La plataforma permite a usuarios autenticados, con privilegios de miembro de bajo nivel, inyectar comandos de shell arbitrarios a través del campo Repositorio de Git durante la creación del proyecto. Al enviar una cadena de repositorio manipulada con sintaxis de inyección de comandos, un atacante puede ejecutar comandos arbitrarios en el sistema host subyacente, lo que resulta en una vulnerabilidad completa del servidor.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
19/09/2025

Vulnerabilidad en Cisco Nexus Dashboard y Cisco Nexus Dashboard Fabric Controller (CVE-2025-20348)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en los endpoints de la API REST de Cisco Nexus Dashboard y Cisco Nexus Dashboard Fabric Controller (NDFC) podría permitir que un atacante remoto autenticado y con pocos privilegios acceda a información confidencial o cargue y modifique archivos en un dispositivo afectado. Esta vulnerabilidad se debe a la falta de controles de autorización en algunos endpoints de la API REST. Un atacante podría explotar esta vulnerabilidad enviando solicitudes de API manipuladas a un endpoint afectado. Una explotación exitosa podría permitir al atacante realizar funciones limitadas de administrador, como acceder a información confidencial sobre las configuraciones de proxy HTTP y NTP, cargar imágenes y dañar archivos de imagen en un dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2025

Vulnerabilidad en Coolify (CVE-2025-34157)
Fecha de publicación:
27/08/2025
Idioma:
Español
Las versiones de Coolify anteriores a la v4.0.0-beta.420.6 son vulnerables a un ataque de Cross Site Scripting (XSS) almacenado durante el flujo de trabajo de creación de proyectos. Un usuario autenticado con privilegios bajos puede manipular un proyecto con un nombre malicioso que contenga JavaScript incrustado. Cuando un administrador intenta eliminar el proyecto o su recurso asociado, la payload se ejecuta en el contexto del navegador del administrador. Esto compromete por completo la instancia de Coolify, incluyendo el robo de tokens de API, cookies de sesión y acceso a sesiones de terminal basadas en WebSockets en servidores administrados.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
19/09/2025

Vulnerabilidad en Virtual Keyboard Video Monitor (CVE-2025-20317)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la gestión de la conexión de Virtual Keyboard Video Monitor (vKVM) de Cisco Integrated Management Controller (IMC) podría permitir que un atacante remoto no autenticado redirija a un usuario a un sitio web malicioso. Esta vulnerabilidad se debe a una verificación insuficiente de los endpoints vKVM. Un atacante podría explotar esta vulnerabilidad persuadiendo al usuario a hacer clic en un enlace manipulado. Una explotación exitosa podría permitirle redirigir a un usuario a una página web maliciosa y, potencialmente, obtener sus credenciales. Nota: El cliente vKVM afectado también está incluido en Cisco UCS Manager.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/08/2025
Suscribirse a Vulnerabilidades