Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-3639)
Fecha de publicación:
18/08/2025
Idioma:
Español
Liferay Portal 7.3.0 a 7.4.3.132, y Liferay DXP 2025.Q1 a 2025.Q1.6, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.15, 7.4 GA a la actualización 92 y 7.3 GA a la actualización 36 permiten a los usuarios no autenticados con credenciales válidas omitir el proceso de inicio de sesión cambiando el método POST a GET, una vez que el sitio tenga MFA habilitada.
Gravedad CVSS v4.0: BAJA
Última modificación:
18/08/2025

Vulnerabilidad en Copier (CVE-2025-55201)
Fecha de publicación:
18/08/2025
Idioma:
Español
Librería Copier y aplicación CLI para renderizar plantillas de proyecto. Antes de la versión 9.9.1, una plantilla segura podía leer y escribir archivos arbitrarios, ya que Copier exponía algunos objetos pathlib.Path en el contexto de Jinja con métodos de E/S sin restricciones. Esto inutilizaba el modelo de seguridad para el acceso al sistema de archivos. Esta vulnerabilidad se corrigió en la versión 9.9.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/08/2025

Vulnerabilidad en ColdFusion (CVE-2025-54234)
Fecha de publicación:
18/08/2025
Idioma:
Español
Las versiones 2025.1, 2023.13, 2021.19 y anteriores de ColdFusion se ven afectadas por una vulnerabilidad de Server-Side Request Forgery (SSRF) que podría limitar la lectura del sistema de archivos. Un atacante autenticado con privilegios elevados puede forzar la aplicación a realizar solicitudes arbitrarias mediante la inyección de URL arbitrarias. La explotación de este problema no requiere la interacción del usuario.
Gravedad CVSS v3.1: BAJA
Última modificación:
06/11/2025

Vulnerabilidad en NamelessMC (CVE-2025-54117)
Fecha de publicación:
18/08/2025
Idioma:
Español
NamelessMC es un software web gratuito, fácil de usar y potente para servidores de Minecraft. Una vulnerabilidad de Cross-site scripting (XSS) en NamelessMC anterior a la versión 2.2.3 permite a atacantes remotos autenticados inyectar código web o HTML arbitrario a través del editor de texto del panel. Esta vulnerabilidad se corrigió en la versión 2.2.4.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/08/2025

Vulnerabilidad en NamelessMC (CVE-2025-54118)
Fecha de publicación:
18/08/2025
Idioma:
Español
NamelessMC es un software web gratuito, fácil de usar y potente para servidores de Minecraft. La divulgación de información confidencial en NamelessMC anterior a la versión 2.2.4 permite que un atacante remoto no autenticado obtenga información confidencial, como la ruta absoluta del código fuente, mediante el parámetro de lista. Esta vulnerabilidad se corrige en la versión 2.2.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2025

Vulnerabilidad en NamelessMC (CVE-2025-54421)
Fecha de publicación:
18/08/2025
Idioma:
Español
NamelessMC es un software web gratuito, fácil de usar y potente para servidores de Minecraft. Una vulnerabilidad de Cross-site scripting (XSS) en NamelessMC anterior a la versión 2.2.4 permite a atacantes remotos autenticados inyectar código web o HTML arbitrario mediante el parámetro `default_keywords`. Esta vulnerabilidad se corrigió en la versión 2.2.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/08/2025

Vulnerabilidad en Lunary (CVE-2025-4962)
Fecha de publicación:
18/08/2025
Idioma:
Español
Se identificó una vulnerabilidad de Referencia Directa a Objetos Insegura (IDOR) en el endpoint `POST /v1/templates` de la API de Lunary, que afecta a versiones hasta la 0.8.8. Esta vulnerabilidad permite a usuarios autenticados crear plantillas en el proyecto de otro usuario modificando el parámetro de consulta `projectId`. La causa principal de este problema es la ausencia de validación del lado del servidor para garantizar que el usuario autenticado posea el `projectId` especificado. Esta vulnerabilidad se ha solucionado en la versión 1.9.23.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/08/2025

Vulnerabilidad en IBM Concert Software (CVE-2025-33100)
Fecha de publicación:
18/08/2025
Idioma:
Español
IBM Concert Software 1.0.0 a 1.1.0 contiene credenciales codificadas, como una contraseña o una clave criptográfica, que utiliza para su propia autenticación entrante, comunicación saliente con componentes externos o cifrado de datos internos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/08/2025

Vulnerabilidad en IBM Storage Virtualize (CVE-2025-36120)
Fecha de publicación:
18/08/2025
Idioma:
Español
IBM Storage Virtualize 8.4, 8.5, 8.6 y 8.7 podrían permitir que un usuario autenticado aumente sus privilegios en una sesión SSH debido a verificaciones de autorización incorrectas para acceder a los recursos.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/08/2025

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43732)
Fecha de publicación:
18/08/2025
Idioma:
Español
Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q1.0 a 2025.Q1.10, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.1 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.17 y 7.4 GA hasta la actualización 92 son vulnerables a una Referencia Directa a Objetos Insegura (IDOR) en el parámetro groupId del _com_liferay_roles_selector_web_portlet_RolesSelectorPortlet_groupId. Cuando un administrador de la organización modifica el valor de este parámetro, puede obtener acceso no autorizado a las listas de usuarios de otras organizaciones.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/12/2025

Vulnerabilidad en IBM Concert Software (CVE-2024-49827)
Fecha de publicación:
18/08/2025
Idioma:
Español
IBM Concert Software 1.0.0 a 1.1.0 es vulnerable a la exposición excesiva de datos, lo que permite a los atacantes acceder a información confidencial sin el filtrado adecuado.
Gravedad CVSS v3.1: BAJA
Última modificación:
21/08/2025

Vulnerabilidad en IBM Concert Software (CVE-2025-1759)
Fecha de publicación:
18/08/2025
Idioma:
Español
IBM Concert Software 1.0.0 a 1.1.0 podría permitir que un atacante remoto obtenga información confidencial de la memoria asignada debido a una limpieza incorrecta de la memoria del montón.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/08/2025
Suscribirse a Vulnerabilidades