Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Apache Log4cxx (CVE-2025-54813)
Fecha de publicación:
22/08/2025
Idioma:
Español
Vulnerabilidad de neutralización de salida incorrecta para registros en Apache Log4cxx. Al usar JSONLayout, no todos los bytes del payload se escapan correctamente. Si un mensaje proporcionado por un atacante contiene caracteres no imprimibles, estos se pasarán en el mensaje y se escribirán como parte del mensaje JSON. Esto puede impedir que las aplicaciones que consumen estos registros interpreten correctamente la información que contienen. Este problema afecta a Apache Log4cxx: versiones anteriores a la 1.5.0. Se recomienda actualizar a la versión 1.5.0, que soluciona el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Easy Hosting Control Panel 20.04.1.b (CVE-2025-50858)
Fecha de publicación:
22/08/2025
Idioma:
Español
La ejecución de cross-site scripting reflejado en la función Listar bases de datos MySQL en Easy Hosting Control Panel (EHCP) 20.04.1.b permite a atacantes autenticados ejecutar JavaScript arbitrario a través del parámetro de acción.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2025

Vulnerabilidad en Easy Hosting Control Panel 20.04.1.b (CVE-2025-50859)
Fecha de publicación:
22/08/2025
Idioma:
Español
La ejecución de cross-site scripting reflejado en la función Cambiar plantilla en Easy Hosting Control Panel (EHCP) 20.04.1.b permite a atacantes autenticados ejecutar JavaScript arbitrario a través del parámetro de plantilla.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2025

Vulnerabilidad en LogIn-SignUp de VishnuSivadasVS (CVE-2025-51092)
Fecha de publicación:
22/08/2025
Idioma:
Español
El proyecto LogIn-SignUp de VishnuSivadasVS es vulnerable a la inyección SQL debido a la construcción insegura de consultas SQL en DataBase.php. Las funciones logIn() y signUp() generan consultas concatenando directamente la entrada del usuario y los nombres de tabla no validados, sin usar sentencias preparadas. Si bien existe la función prepareData(), esta no es suficiente para prevenir la inyección SQL y no depura el nombre de la tabla.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/10/2025

Vulnerabilidad en Apache Log4cxx (CVE-2025-54812)
Fecha de publicación:
22/08/2025
Idioma:
Español
Vulnerabilidad de neutralización de salida incorrecta para registros en Apache Log4cxx. Al usar HTMLLayout, los nombres de registradores no se escapan correctamente al escribir en el archivo HTML. Si se usan datos no confiables para recuperar el nombre de un registrador, un atacante podría, en teoría, inyectar HTML o Javascript para ocultar información de los registros o robar datos del usuario. Para activar esto, debe ocurrir la siguiente secuencia: * Log4cxx está configurado para usar HTMLLayout. * El nombre del registrador proviene de una cadena no confiable * El registrador con nombre comprometido registra un mensaje * El usuario abre el archivo de registro HTML generado en su navegador, lo que lleva a un posible XSS Debido a que los nombres de registradores generalmente son cadenas constantes, evaluamos el impacto para los usuarios como BAJO Este problema afecta a Apache Log4cxx: antes de 1.5.0. Se recomienda a los usuarios actualizar a la versión 1.5.0, que soluciona el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
04/11/2025

Vulnerabilidad en Centreon (CVE-2025-4650)
Fecha de publicación:
22/08/2025
Idioma:
Español
Un usuario con privilegios elevados puede introducir un SQLi mediante la página indicadora de Metaservicio. Esto se debe a una neutralización incorrecta de elementos especiales utilizados en un comando SQL. Este problema afecta a la web: desde la versión 24.10.0 hasta la 24.10.9, desde la versión 24.04.0 hasta la 24.04.16, desde la versión 23.10.0 hasta la 23.10.26.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/10/2025

Vulnerabilidad en Apache StreamPark (CVE-2024-48988)
Fecha de publicación:
22/08/2025
Idioma:
Español
Vulnerabilidad de inyección SQL en Apache StreamPark. Este problema afecta a Apache StreamPark desde la versión 2.1.4 hasta la 2.1.6. Se recomienda a los usuarios actualizar a la versión 2.1.6, que soluciona el problema. Esta vulnerabilidad solo está presente en el paquete de distribución (plataforma SpringBoot) y no afecta a los artefactos Maven. Solo se puede explotar después de que un usuario haya iniciado sesión correctamente en la plataforma (lo que implica que el atacante primero tendría que comprometer la autenticación de inicio de sesión). Por lo tanto, el riesgo asociado se considera relativamente bajo.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43762)
Fecha de publicación:
22/08/2025
Idioma:
Español
Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q1.0 a 2025.Q1.1, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.14 y 7.4 GA hasta la actualización 92 permiten a los usuarios cargar una cantidad ilimitada de archivos a través de los formularios, los archivos se almacenan en document_library lo que permite a un atacante provocar un posible DDoS.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/12/2025

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43758)
Fecha de publicación:
22/08/2025
Idioma:
Español
Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q1.0 a 2025.Q1.5, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.15 y 7.4 GA hasta la actualización 92 permiten a los usuarios no autenticados (invitados) acceder mediante archivos URL cargados por entrada de objeto y almacenados en document_library.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43759)
Fecha de publicación:
22/08/2025
Idioma:
Español
Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q1.0, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.0 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.14 y 7.4 GA hasta la actualización 92 permiten a los usuarios administradores de una instancia virtual agregar páginas que no están en la instancia virtual predeterminada/principal; luego, cualquier inquilino puede crear una lista de todos los demás inquilinos.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en Mahara (CVE-2022-45134)
Fecha de publicación:
22/08/2025
Idioma:
Español
Mahara 21.10 (anterior a 21.10.6), 22.04 (anterior a 22.04.4) y 22.10 (anterior a 22.10.1) deserializa la entrada del usuario de forma insegura durante la importación de la apariencia. Un archivo XML con una estructura particular podría provocar la ejecución de código durante su procesamiento.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/09/2025

Vulnerabilidad en Tenda O3V2 1.0.0.12 (CVE-2025-55613)
Fecha de publicación:
22/08/2025
Idioma:
Español
Tenda O3V2 1.0.0.12(3880) es vulnerable al desbordamiento del búfer en la función fromSafeSetMacFilter a través del parámetro mac.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/09/2025
Suscribirse a Vulnerabilidades