Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Virtual Keyboard Video Monitor (CVE-2025-20342)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la gestión de la conexión de Virtual Keyboard Video Monitor (vKVM) de Cisco Integrated Management Controller (IMC) podría permitir que un atacante remoto autenticado con privilegios bajos realice un ataque de cross-site scripting (XSS) almacenado contra un usuario de la interfaz. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por la interfaz de administración web de un sistema afectado. Un atacante podría explotar esta vulnerabilidad inyectando código malicioso en un campo de datos específico de la interfaz. Una explotación exitosa podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial del navegador. Para explotar esta vulnerabilidad, el atacante debe tener credenciales de usuario válidas con privilegios que permitan el acceso a vKVM en el dispositivo afectado. Nota: El cliente vKVM afectado también está incluido en Cisco UCS Manager.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en Cisco Nexus Dashboard (CVE-2025-20344)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la función de restauración de copias de seguridad de Cisco Nexus Dashboard podría permitir que un atacante remoto autenticado realice un ataque de path traversal en un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente del contenido de un archivo de copia de seguridad. Un atacante con credenciales de administrador válidas podría explotar esta vulnerabilidad restaurando un archivo de copia de seguridad manipulado en un dispositivo afectado. Una explotación exitosa podría permitir al atacante obtener privilegios de root en el shell subyacente del dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2025

Vulnerabilidad en Cisco Nexus Dashboard y Cisco Nexus Dashboard Fabric Controller (CVE-2025-20347)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en los endpoints de la API REST de Cisco Nexus Dashboard y Cisco Nexus Dashboard Fabric Controller (NDFC) podría permitir que un atacante remoto autenticado y con pocos privilegios acceda a información confidencial o cargue y modifique archivos en un dispositivo afectado. Esta vulnerabilidad se debe a la falta de controles de autorización en algunos endpoints de la API REST. Un atacante podría explotar esta vulnerabilidad enviando solicitudes de API manipuladas a un endpoint afectado. Una explotación exitosa podría permitir al atacante realizar funciones limitadas de administrador, como acceder a información confidencial sobre las configuraciones de proxy HTTP y NTP, cargar imágenes y dañar archivos de imagen en un dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2025

Vulnerabilidad en Cisco NX-OS (CVE-2025-20290)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la función de registro del software Cisco NX-OS para los switches Cisco Nexus de la serie 3000, los switches Cisco Nexus de la serie 9000 en modo NX-OS independiente, las interconexiones de red Cisco UCS 6400, Cisco UCS 6500 y Cisco UCS 9108 de 100 G podría permitir que un atacante local autenticado acceda a información confidencial. Esta vulnerabilidad se debe al registro incorrecto de información confidencial. Un atacante podría explotar esta vulnerabilidad accediendo a los archivos de registro en el sistema de archivos donde se almacenan. Una explotación exitosa podría permitir al atacante acceder a información confidencial, como las credenciales almacenadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en Cisco NX-OS (CVE-2025-20292)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la CLI del software Cisco NX-OS podría permitir que un atacante local autenticado ejecute un ataque de inyección de comandos en el sistema operativo subyacente de un dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debe tener credenciales de usuario válidas en el dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad introduciendo una entrada manipulada como argumento de un comando CLI afectado. Una explotación exitosa podría permitir al atacante leer y escribir archivos en el sistema operativo subyacente con los privilegios de una cuenta de usuario no root. El acceso al sistema de archivos está limitado a los permisos otorgados a dicha cuenta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en Cisco UCS Manager (CVE-2025-20294)
Fecha de publicación:
27/08/2025
Idioma:
Español
Varias vulnerabilidades en la CLI y la interfaz de administración web del software Cisco UCS Manager podrían permitir que un atacante remoto autenticado con privilegios administrativos realice ataques de inyección de comandos en un sistema afectado y ascienda a privilegios de root. Estas vulnerabilidades se deben a una validación insuficiente de los argumentos de los comandos proporcionados por el usuario. Un atacante podría explotar estas vulnerabilidades autenticándose en un dispositivo y enviando una entrada manipulada a los comandos afectados. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente del dispositivo afectado con privilegios de root.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en Cisco UCS Manager (CVE-2025-20295)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la CLI del software Cisco UCS Manager podría permitir que un atacante local autenticado con privilegios administrativos lea o cree un archivo, o sobrescriba cualquier archivo, del sistema operativo subyacente de un dispositivo afectado, incluyendo archivos de sistema. Esta vulnerabilidad se debe a una validación insuficiente de los argumentos de comando proporcionados por el usuario. Un atacante podría explotar esta vulnerabilidad autenticándose en un dispositivo y enviando una entrada manipulada al comando afectado. Una explotación exitosa podría permitir al atacante leer o crear un archivo, o sobrescribir cualquier archivo, del sistema operativo subyacente del dispositivo afectado, incluyendo archivos de sistema. Para explotar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas en el dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en Cisco UCS Manager (CVE-2025-20296)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la interfaz de administración web del software Cisco UCS Manager podría permitir que un atacante remoto autenticado realice un ataque de cross-site scripting (XSS) almacenado contra un usuario de la interfaz. Esta vulnerabilidad se debe a una validación insuficiente de la información proporcionada por el usuario por la interfaz de administración web de un sistema afectado. Un atacante podría explotar esta vulnerabilidad inyectando datos maliciosos en páginas específicas de la interfaz. Una explotación exitosa podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial del navegador. Para explotar esta vulnerabilidad, el atacante debe ser miembro del rol de Administrador o Administrador AAA.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en Cisco NX-OS (CVE-2025-20241)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la función de sistema intermedio a sistema intermedio (IS-IS) del software Cisco NX-OS para los switches Cisco Nexus de las series 3000 y 9000 en modo NX-OS independiente podría permitir que un atacante adyacente no autenticado provoque el reinicio inesperado del proceso IS-IS, lo que podría provocar la recarga del dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada insuficiente al analizar un paquete IS-IS de entrada. Un atacante podría explotar esta vulnerabilidad enviando un paquete IS-IS manipulado a un dispositivo afectado. Una explotación exitosa podría permitir al atacante provocar el reinicio inesperado del proceso IS-IS, lo que podría provocar la recarga del dispositivo afectado y provocar una denegación de servicio (DoS). Nota: El protocolo IS-IS es un protocolo de enrutamiento. Para explotar esta vulnerabilidad, un atacante debe estar adyacente a la capa 2 del dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/08/2025

Vulnerabilidad en Protocol Independent Multicast Version 6 (CVE-2025-20262)
Fecha de publicación:
27/08/2025
Idioma:
Español
Una vulnerabilidad en la función Protocol Independent Multicast Version 6 (PIM6) de los switches Cisco Nexus de las series 3000 y 9000 en modo NX-OS independiente podría permitir que un atacante remoto autenticado y con pocos privilegios provoque un bloqueo del proceso PIM6, lo que resulta en una denegación de servicio (DoS). Esta vulnerabilidad se debe al procesamiento incorrecto de las consultas de datos efímeros de PIM6. Un atacante podría explotar esta vulnerabilidad enviando una consulta efímera manipulada a un dispositivo afectado mediante uno de los siguientes métodos: NX-API REST, NETCONF, RESTConf, gRPC o telemetría basada en modelos. Una explotación exitosa podría permitir al atacante provocar el bloqueo y reinicio del proceso PIM6, lo que podría causar fluctuaciones de adyacencia y una denegación de servicio (DoS) de PIM6 y los procesos de consulta efímera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2025

Vulnerabilidad en diskover-web v2.3.0 Community Edition (CVE-2025-50984)
Fecha de publicación:
27/08/2025
Idioma:
Español
diskover-web v2.3.0 Community Edition es vulnerable a múltiples fallos de inyección SQL ciega basados en booleanos en su formulario de configuración de Elasticsearch. Entradas de usuario sin depurar en parámetros POST como ES_PASS, ES_MAXSIZE, ES_TRANSLOGSIZE, ES_TIMEOUT, ES_USER, ES_HOST, ES_PORT, ES_SCROLLSIZE, ES_CHUNKSIZE y otros pueden manipularse para inyectar expresiones SQLite arbitrarias envueltas en funciones JSON. Al explotar estos puntos de inyección, un atacante puede inferir o extraer información confidencial de la base de datos subyacente sin autenticación. Este problema se debe a una validación y parametrización incorrectas de las entradas en la construcción de consultas basadas en JSON de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/09/2025

Vulnerabilidad en Bevy Event (CVE-2025-54598)
Fecha de publicación:
27/08/2025
Idioma:
Español
El servicio Bevy Event hasta el 22 de julio de 2025, tal como se utiliza para eventos de vendedores de eBay y otras actividades, permite a CSRF eliminar todas las notificaciones a través del URI /notifications/delete/.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/09/2025
Suscribirse a Vulnerabilidades