Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en LogicData eCommerce Framework v5.0.9.7000 (CVE-2025-52338)
Fecha de publicación:
19/08/2025
Idioma:
Español
Un problema en la configuración predeterminada de la función de restablecimiento de contraseña en LogicData eCommerce Framework v5.0.9.7000 permite a los atacantes eludir la autenticación y comprometer las cuentas de usuario a través de un ataque de fuerza bruta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2025

Vulnerabilidad en Astro (CVE-2025-55303)
Fecha de publicación:
19/08/2025
Idioma:
Español
Astro es un framework web para sitios web basados en contenido. En versiones de Astro anteriores a la 5.13.2 y la 4.16.18, el endpoint de optimización de imágenes en proyectos implementados con renderizado bajo demanda permite la entrega de imágenes de dominios de terceros no autorizados. Los sitios web renderizados bajo demanda creados con Astro incluyen un endpoint /_image que devuelve versiones optimizadas de las imágenes. Un error en las versiones afectadas de Astro permite a un atacante eludir las restricciones de dominio de terceros utilizando una URL relativa al protocolo como fuente de la imagen, por ejemplo, /_image?href=//example.com/image.png. Esta vulnerabilidad se corrigió en las versiones 5.13.2 y 4.16.18.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/11/2025

Vulnerabilidad en IBM Sterling B2B Integrator e IBM Sterling File Gateway (CVE-2025-33008)
Fecha de publicación:
19/08/2025
Idioma:
Español
IBM Sterling B2B Integrator 6.2.1.0 e IBM Sterling File Gateway 6.2.1.0 son vulnerables a ataques de cross site scripting. Esta vulnerabilidad permite a un usuario autenticado incrustar código JavaScript arbitrario en la interfaz web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales en una sesión de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/09/2025

Vulnerabilidad en Adform Site Tracking 1.1 (CVE-2025-50891)
Fecha de publicación:
19/08/2025
Idioma:
Español
Adform Site Tracking 1.1 permite a los atacantes inyectar HTML o ejecutar código arbitrario a través del secuestro de cookies.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/09/2025

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43745)
Fecha de publicación:
19/08/2025
Idioma:
Español
Una vulnerabilidad CSRF en Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q2.0 a 2025.Q2.7, 2025.Q1.0 a 2025.Q1.14, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.19 y 7.4 GA hasta la actualización 92 permite a atacantes remotos realizar solicitudes de origen cruzado en nombre del usuario autenticado a través del parámetro de endpoint.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/12/2025

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43737)
Fecha de publicación:
19/08/2025
Idioma:
Español
Una vulnerabilidad de cross site scripting (XSS) reflejado en Liferay Portal 7.4.3.132 y Liferay DXP 2025.Q2.0 a 2025.Q2.8 y 2025.Q1.0 a 2025.Q1.15 permite que un usuario autenticado remoto inyecte código JavaScript a través del parámetro _com_liferay_journal_web_portlet_JournalPortlet_backURL.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/12/2025

Vulnerabilidad en HCL Digital Experience (CVE-2025-31988)
Fecha de publicación:
19/08/2025
Idioma:
Español
HCL Digital Experience es susceptible a cross site scripting (XSS) en una interfaz de usuario administrativa con acceso restringido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/08/2025

Vulnerabilidad en AllSky v2023.05.01_04 (CVE-2024-44373)
Fecha de publicación:
19/08/2025
Idioma:
Español
Una vulnerabilidad de path traversal en AllSky v2023.05.01_04 permite a un atacante no autenticado crear un shell web y ejecutar código remoto a través del parámetro path, content en /includes/save_file.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/12/2025

Vulnerabilidad en LiuYuYang01 ThriveX-Blog (CVE-2025-9151)
Fecha de publicación:
19/08/2025
Idioma:
Español
Se ha descubierto una falla de seguridad en LiuYuYang01 ThriveX-Blog hasta la versión 3.1.7. Esta vulnerabilidad afecta a la función updateJsonValueByName del archivo /web_config/json/name/web. La manipulación da como resultado una autorización incorrecta. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta vulnerabilidad, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/08/2025

Vulnerabilidad en IDENTIFICADOR NO VÁLIDO (CVE-2025-55153)
Fecha de publicación:
19/08/2025
Idioma:
Español
Razón rechazado: este CVE es un duplicado de otro CVE.
Gravedad: Pendiente de análisis
Última modificación:
19/08/2025

Vulnerabilidad en screenshot-desktop (CVE-2025-55294)
Fecha de publicación:
19/08/2025
Idioma:
Español
screenshot-desktop permite capturar una captura de pantalla de su equipo local. Esta vulnerabilidad se debe a un problema de inyección de comandos. Cuando se pasa una entrada controlada por el usuario a la opción de formato de la función de captura de pantalla, esta se interpola en un comando de shell sin depurar. Esto provoca la ejecución arbitraria de comandos con los privilegios del proceso que los invocó. Esta vulnerabilidad se corrigió en la versión 1.15.2.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/08/2025

Vulnerabilidad en qBit Manage (CVE-2025-55295)
Fecha de publicación:
19/08/2025
Idioma:
Español
qBit Manage es una herramienta que ayuda a gestionar tareas tediosas en qBittorrent y automatizarlas. Existe una vulnerabilidad de path traversal en la API web de qbit_manage que permite a los usuarios autenticados leer archivos arbitrarios del sistema de archivos del servidor a través del endpoint restore_config_from_backup. Esta vulnerabilidad permite a los atacantes eludir las restricciones de directorio y leer archivos arbitrarios del sistema de archivos del servidor manipulando el parámetro backup_id con secuencias de path traversal (p. ej., ../). Esta vulnerabilidad se corrigió en la versión 4.5.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2025
Suscribirse a Vulnerabilidades