Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-53889

Fecha de publicación:
15/07/2025
Idioma:
Español
Directus es una API en tiempo real y un panel de control de aplicaciones para gestionar el contenido de bases de datos SQL. A partir de la versión 9.12.0 y anteriores a la 11.9.0, los flujos de Directus con un disparador manual no validan si el usuario que los activa tiene permisos sobre los elementos proporcionados como payload. Dependiendo de la configuración del flujo, esto puede provocar que ejecute tareas en nombre del atacante sin autenticarse. Los atacantes podrían ejecutar los flujos de activación manual sin autenticación ni derechos de acceso a dichas colecciones o elementos. Los usuarios con flujos de activación manual configurados se ven afectados, ya que estos endpoints no validan actualmente si el usuario tiene acceso de lectura a `directus_flows` o a la colección o los elementos relevantes. Los flujos de activación manual deberían tener requisitos de seguridad más estrictos que los flujos de webhook, donde se espera que los usuarios realicen sus propias comprobaciones. La versión 11.9.0 soluciona el problema. Como solución alternativa, implemente comprobaciones de permisos para el acceso de lectura a los flujos y el acceso de lectura a la colección o los elementos relevantes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

CVE-2025-53836

Fecha de publicación:
15/07/2025
Idioma:
Español
XWiki Rendering es un sistema de renderizado genérico que convierte la entrada textual en una sintaxis dada (sintaxis wiki, HTML, etc.) en otra sintaxis (XHTML, etc.). A partir de la versión 4.2-milestone-1 y anteriores a las versiones 13.10.11, 14.4.7 y 14.10, el analizador de contenido de macros predeterminado no conserva el atributo restringido del contexto de transformación al ejecutar macros anidadas. Esto permite ejecutar macros que normalmente están prohibidas en modo restringido, en particular las macros de script. Las macros de caché y gráficos incluidas en XWiki utilizan esta función vulnerable. Esto se ha corregido en XWiki 13.10.11, 14.4.7 y 14.10. Para evitar que se aproveche este fallo, se pueden desactivar los comentarios para usuarios no confiables hasta que se actualice a una versión corregida. Tenga en cuenta que los usuarios con permisos de edición podrán añadir comentarios a través del editor de objetos, incluso si los comentarios se han desactivado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2025

CVE-2025-53835

Fecha de publicación:
14/07/2025
Idioma:
Español
XWiki Rendering es un sistema de renderizado genérico que convierte la entrada de texto en una sintaxis dada (sintaxis wiki, HTML, etc.) en otra sintaxis (XHTML, etc.). A partir de la versión 5.4.5 y antes de la versión 14.10, la sintaxis XHTML dependía de la sintaxis `xdom+xml/current`, que permite la creación de bloques sin procesar que permiten la inserción de contenido HTML arbitrario, incluyendo JavaScript. Esto permite ataques XSS para usuarios que pueden editar un documento como su perfil de usuario (habilitado por defecto). Esto se ha corregido en la versión 14.10 eliminando la dependencia de la sintaxis `xdom+xml/current` de la sintaxis XHTML. Tenga en cuenta que la sintaxis `xdom+xml` sigue siendo vulnerable a este ataque. Como su propósito principal es la prueba y su uso es bastante difícil, esta sintaxis no debe instalarse ni usarse en una wiki normal. No hay soluciones alternativas conocidas aparte de la actualización.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2025

CVE-2025-53822

Fecha de publicación:
14/07/2025
Idioma:
Español
WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) Reflejado en el endpoint `relatorio_geracao.php` de la aplicación WeGIA antes de la versión 3.4.5. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `tipo_relatorio`. La versión 3.4.5 incluye un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

CVE-2025-53823

Fecha de publicación:
14/07/2025
Idioma:
Español
WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Las versiones anteriores a la 3.4.5 presentan una vulnerabilidad de inyección SQL en el endpoint `/WeGIA/html/socio/sistema/processa_deletar_socio.php`, en el parámetro `id_socio`. Esta vulnerabilidad permite la ejecución de comandos SQL arbitrarios, lo que puede comprometer la confidencialidad, integridad y disponibilidad de los datos almacenados. La versión 3.4.5 corrige el problema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/07/2025

CVE-2025-53824

Fecha de publicación:
14/07/2025
Idioma:
Español
WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) Reflejado en el endpoint editar_permissoes.php de la aplicación WeGIA antes de la versión 3.4.4. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro msg_c. La versión 3.4.4 corrige el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/07/2025

CVE-2025-53825

Fecha de publicación:
14/07/2025
Idioma:
Español
Dokploy es una Plataforma como Servicio (PaaS) gratuita y autoalojada. Antes de la versión 0.24.3, una vulnerabilidad en la implementación de vista previa no autenticada en Dokploy permitía a cualquier usuario ejecutar código arbitrario y acceder a variables de entorno sensibles con solo abrir una solicitud de extracción en un repositorio público. Esto expone secretos y potencialmente permite la ejecución remota de código, poniendo en riesgo a todos los usuarios públicos de Dokploy que utilizan estas implementaciones de vista previa. La versión 0.24.3 contiene una solución para este problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2025

CVE-2025-53833

Fecha de publicación:
14/07/2025
Idioma:
Español
LaRecipe es una aplicación que permite a los usuarios crear documentación con Markdown dentro de una aplicación Laravel. Las versiones anteriores a la 2.8.1 son vulnerables a la inyección de plantillas del lado del servidor (SSTI), lo que podría provocar la ejecución remota de código (RCE) en configuraciones vulnerables. Los atacantes podrían ejecutar comandos arbitrarios en el servidor, acceder a variables de entorno sensibles o escalar el acceso según la configuración del servidor. Se recomienda encarecidamente a los usuarios actualizar a la versión 2.8.1 o posterior para recibir un parche.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2025

CVE-2025-53834

Fecha de publicación:
14/07/2025
Idioma:
Español
Caido es un kit de herramientas de auditoría de seguridad web. Se descubrió una vulnerabilidad de cross-site scripting (XSS) reflejado en el componente de interfaz de usuario de Caido en versiones anteriores a la 0.49.0. Los mensajes de notificación pueden reflejar entradas de usuario no depuradas en ciertas herramientas como Match&Replace y Scope. Esto podría permitir que un atacante cree entradas que resulten en la ejecución de scripts arbitrarios. La versión 0.49.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

CVE-2025-53821

Fecha de publicación:
14/07/2025
Idioma:
Español
WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Existe una vulnerabilidad de redirección abierta en la aplicación web anterior a la versión 3.4.5. El endpoint control.php permite especificar una URL arbitraria mediante el parámetro `nextPage`, lo que provoca una redirección incontrolada. La versión 3.4.5 contiene una solución para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

CVE-2025-53819

Fecha de publicación:
14/07/2025
Idioma:
Español
Nix es un gestor de paquetes para Linux y otros sistemas Unix. Las compilaciones con Nix 2.30.0 en macOS se ejecutaban con privilegios elevados (root), en lugar de los usuarios de la compilación. La corrección se aplicó a Nix 2.30.1. No se conocen soluciones alternativas.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

CVE-2025-53820

Fecha de publicación:
14/07/2025
Idioma:
Español
WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) Reflejado en el endpoint `index.php` de la aplicación WeGIA antes de la versión 3.4.5. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `erro`. La versión 3.4.5 incluye un parche para solucionar el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025