Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en screenshot-desktop (CVE-2025-55294)
Fecha de publicación:
19/08/2025
Idioma:
Español
screenshot-desktop permite capturar una captura de pantalla de su equipo local. Esta vulnerabilidad se debe a un problema de inyección de comandos. Cuando se pasa una entrada controlada por el usuario a la opción de formato de la función de captura de pantalla, esta se interpola en un comando de shell sin depurar. Esto provoca la ejecución arbitraria de comandos con los privilegios del proceso que los invocó. Esta vulnerabilidad se corrigió en la versión 1.15.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/08/2025

Vulnerabilidad en qBit Manage (CVE-2025-55295)
Fecha de publicación:
19/08/2025
Idioma:
Español
qBit Manage es una herramienta que ayuda a gestionar tareas tediosas en qBittorrent y automatizarlas. Existe una vulnerabilidad de path traversal en la API web de qbit_manage que permite a los usuarios autenticados leer archivos arbitrarios del sistema de archivos del servidor a través del endpoint restore_config_from_backup. Esta vulnerabilidad permite a los atacantes eludir las restricciones de directorio y leer archivos arbitrarios del sistema de archivos del servidor manipulando el parámetro backup_id con secuencias de path traversal (p. ej., ../). Esta vulnerabilidad se corrigió en la versión 4.5.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2025

Vulnerabilidad en FileCatalyst de Fortra (CVE-2025-8450)
Fecha de publicación:
19/08/2025
Idioma:
Español
Un problema de control de acceso inadecuado en el componente de flujo de trabajo de FileCatalyst de Fortra permite que usuarios no autenticados carguen archivos arbitrarios a través de la página de formularios de pedido.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/08/2025

Vulnerabilidad en Wavlink WL-NU516U1 M16U1_V240425 (CVE-2025-9149)
Fecha de publicación:
19/08/2025
Idioma:
Español
Se detectó una vulnerabilidad en Wavlink WL-NU516U1 M16U1_V240425. Esta afecta a la función sub_4032E4 del archivo /cgi-bin/wireless.cgi. Esta manipulación del argumento Guest_ssid provoca la inyección de comandos. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/10/2025

Vulnerabilidad en Surbowl dormitory-management-php (CVE-2025-9150)
Fecha de publicación:
19/08/2025
Idioma:
Español
Se identificó una vulnerabilidad en Surbowl dormitory-management-php hasta 9f1d9d1f528cabffc66fda3652c56ff327fda317. Se ve afectada una función desconocida del archivo /admin/violation_add.php?id=2. Esta manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza un sistema de lanzamiento continuo, por lo que no se divulga la información de las versiones afectadas o actualizadas. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/08/2025

Vulnerabilidad en Mermaid (CVE-2025-54881)
Fecha de publicación:
19/08/2025
Idioma:
Español
Mermaid es una herramienta de diagramación y gráficos basada en JavaScript que utiliza definiciones de texto inspiradas en Markdown y un renderizador para crear y modificar diagramas complejos. En la configuración predeterminada de Mermaid 10.9.0-rc.1 a 11.9.0, la información proporcionada por el usuario para las etiquetas de los diagramas de secuencia se pasa a innerHTML durante el cálculo del tamaño del elemento, lo que provoca un error XSS.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/08/2025

Vulnerabilidad en jasonclark getsemantic (CVE-2025-9147)
Fecha de publicación:
19/08/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad en jasonclark getsemantic hasta 040c96eb8cf9947488bd01b8de99b607b0519f7d. El elemento afectado es una función desconocida del archivo /index.php. La manipulación del argumento view provoca cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto sigue un enfoque de lanzamiento continuo, por lo que no se proporcionan detalles de las versiones afectadas o actualizadas. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/09/2025

Vulnerabilidad en CodePhiliaX Chat2DB (CVE-2025-9148)
Fecha de publicación:
19/08/2025
Idioma:
Español
Se encontró una vulnerabilidad en CodePhiliaX Chat2DB hasta la versión 0.3.7. Esta afecta a una función desconocida del archivo ai/chat2db/server/web/api/controller/data/source/DataSourceController.java del componente JDBC Connection Handler. La manipulación provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/08/2025

Vulnerabilidad en Mermaid (CVE-2025-54880)
Fecha de publicación:
19/08/2025
Idioma:
Español
Mermaid es una herramienta de diagramación y gráficos basada en JavaScript que utiliza definiciones de texto inspiradas en Markdown y un renderizador para crear y modificar diagramas complejos. En la configuración predeterminada de Mermaid 11.9.0 y versiones anteriores, la información proporcionada por el usuario para los iconos de los diagramas de arquitectura se pasa al método html() de d3, lo que crea un receptor para cross site scripting. Esta vulnerabilidad se corrigió en la versión 11.10.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/10/2025

Vulnerabilidad en smartLibrary de HRForecast Suite 0.4.3 (CVE-2025-51506)
Fecha de publicación:
19/08/2025
Idioma:
Español
En el componente smartLibrary de HRForecast Suite 0.4.3, se descubrió una vulnerabilidad de inyección SQL en el parámetro valueKey. Esta falla permite a cualquier usuario autenticado ejecutar consultas SQL arbitrarias mediante payloads manipulados dirigidas a valueKey en el endpoint api/smartlibrary/v2/en/dictionaries/options/lookup.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/10/2025

Vulnerabilidad en n8n (CVE-2025-52478)
Fecha de publicación:
19/08/2025
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo. Desde la versión 1.77.0 hasta la 1.98.2, se identificó una vulnerabilidad de cross site scripting (XSS) almacenado en n8n, específicamente en el elemento HTML del formulario del nodo Form Trigger. Un atacante autenticado puede inyectar HTML malicioso mediante un con un payload srcdoc que incluye la ejecución arbitraria de JavaScript. El atacante también puede inyectar JavaScript malicioso mediante el uso de <video> acoplado a <source> mediante un evento onerror. Al usar un iframe o una combinación de video y etiqueta source, esta vulnerabilidad permite la apropiación de cuentas (ATO) mediante la exfiltración de n8n-browserId y cookies de sesión de usuarios autenticados que visitan un formulario manipulado con fines maliciosos. Con estos tokens y cookies, un atacante puede suplantar la identidad de la víctima y cambiar los detalles de la cuenta, como las direcciones de correo electrónico, lo que le otorga control total sobre la cuenta, especialmente si la autenticación de dos factores (A2F) no está habilitada. Los usuarios deben actualizar a la versión 1.98.2 o superior.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/09/2025

Vulnerabilidad en Discourse (CVE-2025-54411)
Fecha de publicación:
19/08/2025
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. El nombre de usuario del banner de bienvenida para usuarios registrados puede ser vulnerable a ataques XSS, que afectan al usuario o a un administrador que se hace pasar por él. Los administradores pueden modificar temporalmente el texto del sitio welcome_banner.header.logged_in_members para eliminar el marcador de posición preferred_display_name o no suplantar a ningún usuario por el momento. Esta vulnerabilidad se corrigió en la versión 3.5.0.beta8.
Gravedad CVSS v4.0: BAJA
Última modificación:
20/08/2025
Suscribirse a Vulnerabilidades