Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en INFINITT Healthcare (CVE-2025-24489)
Fecha de publicación:
21/08/2025
Idioma:
Español
Un atacante podría aprovechar esta vulnerabilidad cargando archivos arbitrarios a través de un servicio específico, lo que podría comprometer el sistema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/08/2025

Vulnerabilidad en AOL (CVE-2010-10015)
Fecha de publicación:
21/08/2025
Idioma:
Español
Las versiones de AOL hasta la 9.5 incluida incluyen un control ActiveX (Phobos.dll) que expone un método llamado Import() a través del objeto COM Phobos.Playlist. Este método es vulnerable a un desbordamiento de búfer basado en la pila cuando se le proporciona un argumento de cadena excesivamente largo. Esta explotación permite a atacantes remotos ejecutar código arbitrario en el contexto del usuario, pero solo cuando el archivo HTML malicioso se abre localmente, ya que el control no está marcado como seguro para scripting o inicialización. AOL sigue siendo una marca activa y con soporte, que ofrece servicios como AOL Mail y AOL Desktop Gold, pero el software de escritorio heredado de AOL 9.5 —en concreto, la versión que contiene el control ActiveX vulnerable Phobos.dll— lleva tiempo descontinuado y sin mantenimiento.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/08/2025

Vulnerabilidad en Firewall Antispam y Virus, SSL VPN y Firewall de Aplicaciones Web (CVE-2010-20109)
Fecha de publicación:
21/08/2025
Idioma:
Español
Los productos Barracuda, confirmados en versiones de Firewall Antispam y Virus, SSL VPN y Firewall de Aplicaciones Web anteriores a octubre de 2010, contienen una vulnerabilidad de path traversal en el endpoint view_help.cgi. El parámetro locale no depura correctamente la entrada del usuario, lo que permite a los atacantes inyectar secuencias de cruce y terminadores de byte nulo para acceder a archivos arbitrarios en el sistema subyacente. Al explotar esta vulnerabilidad, atacantes remotos no autenticados pueden recuperar archivos de configuración confidenciales como /mail/snapshot/config.snapshot, lo que podría exponer credenciales, configuración interna y otros datos críticos.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/08/2025

Vulnerabilidad en pyLoad (CVE-2025-57751)
Fecha de publicación:
21/08/2025
Idioma:
Español
pyLoad es un gestor de descargas gratuito y de código abierto, escrito en Python puro. El parámetro jk se recibe en el CNL Blueprint de pyLoad. Debido a la falta de verificación del parámetro jk, el parámetro jk introducido por el usuario se determina directamente como dykpy.evaljs(), lo que provoca que la CPU del servidor se ocupe por completo y que la interfaz web deje de responder. Esta vulnerabilidad se corrigió en la versión 0.5.0b3.dev92.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/08/2025

Vulnerabilidad en Dell iDRAC Service Module (CVE-2025-38743)
Fecha de publicación:
21/08/2025
Idioma:
Español
Dell iDRAC Service Module (iSM), versiones anteriores a la 6.0.3.0, contiene una vulnerabilidad de acceso al búfer con valor de longitud incorrecto. Un atacante con pocos privilegios y acceso local podría explotar esta vulnerabilidad, lo que provocaría la ejecución de código y la elevación de privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/09/2025

Vulnerabilidad en Dell iDRAC Service Module (CVE-2025-38742)
Fecha de publicación:
21/08/2025
Idioma:
Español
Dell iDRAC Service Module (iSM), versiones anteriores a la 6.0.3.0, presenta una vulnerabilidad de asignación incorrecta de permisos para recursos críticos. Un atacante con pocos privilegios y acceso local podría explotar esta vulnerabilidad, lo que provocaría la ejecución de código.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2025

Vulnerabilidad en N-central (CVE-2025-7051)
Fecha de publicación:
21/08/2025
Idioma:
Español
En N-central, cualquier usuario autenticado puede leer, escribir y modificar la configuración de syslog de los clientes en un servidor N-central. Esta vulnerabilidad está presente en todas las implementaciones de N-central anteriores a la versión 2025.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2025

Vulnerabilidad en Phproject (CVE-2025-57768)
Fecha de publicación:
21/08/2025
Idioma:
Español
Phproject es un sistema de gestión de proyectos completo y de alto rendimiento. Desde la versión 1.8.0 hasta versiones anteriores a la 1.8.3, existía una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el campo "Horas planificadas" al crear un nuevo proyecto. Al enviar una solicitud POST a /issues/new/, el valor proporcionado en el campo "Horas planificadas" se incluye en la respuesta del servidor sin codificación ni depuración HTML. Por ello, un atacante puede manipular una carga maliciosa como e incluirla en el parámetro "planned_hours". El servidor refleja la entrada directamente en el HTML de la página de creación del proyecto, lo que provoca que el navegador la interprete y la ejecute. Esta vulnerabilidad se corrigió en la versión 1.8.3.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/08/2025

Vulnerabilidad en Agent-Zero v0.8.* (CVE-2025-55524)
Fecha de publicación:
21/08/2025
Idioma:
Español
Los permisos inseguros en Agent-Zero v0.8.* permiten a los atacantes restablecer el sistema arbitrariamente a través de vectores no especificados.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2026

Vulnerabilidad en Aikaan IoT management platform v3.25.0325-5-g2e9c59796 (CVE-2025-52351)
Fecha de publicación:
21/08/2025
Idioma:
Español
Aikaan IoT management platform v3.25.0325-5-g2e9c59796 envía una contraseña recién generada a los usuarios en texto plano por correo electrónico y también la incluye como parámetro de consulta en la URL de activación de la cuenta (p. ej., https://domain.com/activate=xyz). Esta práctica puede provocar la exposición de la contraseña a través del historial del navegador, los registros del proxy, los encabezados de referencia y el almacenamiento en caché del correo electrónico. Esta vulnerabilidad afecta la confidencialidad de las credenciales del usuario durante la incorporación inicial.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/08/2025

Vulnerabilidad en Aikaan IoT management platform v3.25.0325-5-g2e9c59796 (CVE-2025-52352)
Fecha de publicación:
21/08/2025
Idioma:
Español
Aikaan IoT management platform v3.25.0325-5-g2e9c59796 ofrece una configuración para deshabilitar el registro de usuarios en implementaciones distribuidas, ocultando la opción de registro en la interfaz de usuario de la página de inicio de sesión. Sin embargo, el endpoint de la API de registro permanece accesible públicamente y funcional, lo que permite que usuarios no autenticados registren cuentas mediante las API incluso cuando la función está deshabilitada. Esto provoca la omisión de la autenticación y el acceso no autorizado a los portales de administración, lo que viola los controles de acceso previstos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/08/2025

Vulnerabilidad en Agent-Zero v0.8.* (CVE-2025-55523)
Fecha de publicación:
21/08/2025
Idioma:
Español
Un problema en el componente /api/download_work_dir_file.py de Agent-Zero v0.8.* permite a los atacantes ejecutar un directory traversal.
Gravedad CVSS v3.1: BAJA
Última modificación:
08/01/2026
Suscribirse a Vulnerabilidades