Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en AutoGPT (CVE-2025-53944)
Fecha de publicación:
30/07/2025
Idioma:
Español
AutoGPT es una plataforma que permite a los usuarios crear, implementar y gestionar agentes de inteligencia artificial continua. En la versión v0.6.15 y anteriores, el endpoint get_graph_execution_results de la API externa presenta una vulnerabilidad de omisión de autorización. Si bien valida correctamente el acceso del usuario a graph_id, no verifica la propiedad del parámetro graph_exec_id, lo que permite a los usuarios autenticados acceder a cualquier resultado de ejecución proporcionando IDs de ejecución arbitrarios. La API interna implementa la validación adecuada para ambos parámetros. Esto se solucionó en la versión v0.6.16.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2025

Vulnerabilidad en Bugsink (CVE-2025-54433)
Fecha de publicación:
30/07/2025
Idioma:
Español
Bugsink es un servicio de seguimiento de errores autoalojado. En las versiones 1.4.2 y anteriores, 1.5.0 a 1.5.4, 1.6.0 a 1.6.3 y 1.7.0 a 1.7.3, las rutas de ingesta construyen ubicaciones de archivos directamente a partir de una entrada event_id no confiable sin validación. Un event_id especialmente manipulado puede generar rutas fuera del directorio previsto, lo que podría permitir la sobrescritura o creación de archivos en ubicaciones arbitrarias. Enviar dicha entrada requiere acceso a un DSN válido, lo que podría exponerlos. Si Bugsink se ejecuta en un contenedor, el efecto se limita al sistema de archivos del contenedor. En configuraciones no contenedorizadas, la sobrescritura puede afectar a otras partes del sistema accesibles para ese usuario. Esto se ha corregido en las versiones 1.4.3, 1.5.5, 1.6.4 y 1.7.4.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/07/2025

Vulnerabilidad en CVAT (CVE-2025-54573)
Fecha de publicación:
30/07/2025
Idioma:
Español
CVAT es una herramienta interactiva de código abierto para la anotación de imágenes y videos para visión artificial. En las versiones 1.1.0 a 2.41.0, la verificación de correo electrónico no se aplicaba al usar la autenticación HTTP básica. Como resultado, los usuarios podían crear cuentas con direcciones de correo electrónico falsas y usar el producto como usuarios verificados. Además, la falta de verificación de correo electrónico deja el sistema expuesto a registros de bots y a otros usos. CVAT 2.42.0 y versiones posteriores incluyen una solución para este problema. Los clientes de CVAT Enterprise tienen una solución alternativa; pueden desactivar el registro para evitar este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2025

Vulnerabilidad en GLPI (CVE-2025-53111)
Fecha de publicación:
30/07/2025
Idioma:
Español
GLPI es un paquete gratuito de software de gestión de activos y TI. En las versiones 0.80 a 10.0.18, la falta de verificación de permisos puede provocar acceso no autorizado a algunos recursos. Esto se solucionó en la versión 10.0.19.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2025

Vulnerabilidad en GLPI (CVE-2025-53112)
Fecha de publicación:
30/07/2025
Idioma:
Español
GLPI es un paquete gratuito de software de gestión de activos y TI que ofrece funciones de ITIL Service Desk, seguimiento de licencias y auditoría de software. En las versiones 9.1.0 a 10.0.18, la falta de comprobaciones de permisos podía provocar la eliminación no autorizada de algunos recursos específicos. Esto se ha corregido en la versión 10.0.19.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2025

Vulnerabilidad en GLPI (CVE-2025-53113)
Fecha de publicación:
30/07/2025
Idioma:
Español
GLPI, acrónimo de Gestionnaire Libre de Parc Informatique, es un paquete de software gratuito para la gestión de activos y TI que ofrece funciones de ITIL Service Desk, seguimiento de licencias y auditoría de software. En las versiones 0.65 a 10.0.18, un técnico puede usar la función de enlaces externos para obtener información sobre elementos a los que no tiene acceso. Esto se solucionó en la versión 10.0.19.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/08/2025

Vulnerabilidad en HP LaserJet Pro (CVE-2025-43018)
Fecha de publicación:
30/07/2025
Idioma:
Español
Algunas impresoras HP LaserJet Pro pueden ser vulnerables a la divulgación de información cuando un usuario no autenticado consulta la libreta de direcciones local de un dispositivo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/07/2025

CVE-2025-46811
Fecha de publicación:
30/07/2025
Idioma:
Español
Una vulnerabilidad de Autenticación Inexistente para Funciones Críticas en SUSE Manager permite que cualquier persona con acceso al websocket en /rhn/websocket/minion/remote-commands ejecute comandos arbitrarios como root. Este problema afecta a Container suse/manager/5.0/x86_64/server:5.0.5.7.30.1: desde ? anterior a 0.3.7-150600.3.6.2; Container suse/manager/5.0/x86_64/server:5.0.5.7.30.1: desde ? anterior a 5.0.14-150600.4.17.1; Container suse/manager/5.0/x86_64/server:5.0.5.7.30.1: desde ? anterior a 5.0.14-150600.4.17.1; Imagen SLES15-SP4-Manager-Server-4-3-BYOS: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-Azure: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-Azure: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-EC2: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-EC2: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-GCE: de ? anterior a 4.3.33-150400.3.55.2; Imagen SLES15-SP4-Manager-Server-4-3-BYOS-GCE: de ? anterior a 4.3.33-150400.3.55.2; SUSE Manager Server Module 4.3: de ? anterior a 0.3.7-150400.3.39.4; SUSE Manager Server Module 4.3: de ? anterior a 4.3.33-150400.3.55.2; SUSE Manager Server Module 4.3: de ? antes del 4.3.33-150400.3.55.2.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/09/2025

Vulnerabilidad en Zimbra Collaboration (CVE-2024-45515)
Fecha de publicación:
30/07/2025
Idioma:
Español
Se descubrió un problema en Zimbra Collaboration (ZCS) hasta la versión 10.1. Existe una vulnerabilidad de cross-site scripting (XSS) en el correo web de Zimbra debido a una validación insuficiente de los metadatos del tipo de contenido al importar archivos al maletín. Los atacantes pueden explotar este problema creando un archivo con metadatos manipulados, lo que les permite eludir las comprobaciones del tipo de contenido y ejecutar JavaScript arbitrario en la sesión de la víctima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/08/2025

Vulnerabilidad en Umbraco (CVE-2025-54425)
Fecha de publicación:
30/07/2025
Idioma:
Español
Umbraco es un CMS ASP.NET. En las versiones 13.0.0 a 13.9.2, 15.0.0 a 15.4.1 y 16.0.0 a 16.1.0, se puede restringir el acceso público a la API de entrega de contenido, donde se debe proporcionar una clave de API en un encabezado para autorizar la solicitud. También es posible configurar el almacenamiento en caché de salida, de modo que las salidas de la API de entrega se almacenen en caché durante un período, lo que mejora el rendimiento. Existe un problema cuando se utilizan estas dos opciones juntas: el almacenamiento en caché no varía según el encabezado que contiene la clave de API. Por lo tanto, es posible que un usuario sin una clave de API válida recupere una respuesta para una ruta y consulta determinadas si se ha solicitado recientemente y se ha almacenado en caché mediante una solicitud con una clave válida. Esto se solucionó en las versiones 13.9.3, 15.4.4 y 16.1.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/09/2025

Vulnerabilidad en dedupe (CVE-2025-54430)
Fecha de publicación:
30/07/2025
Idioma:
Español
dedupe es una librería de Python que utiliza aprendizaje automático para realizar coincidencias difusas, deduplicación y resolución de entidades rápidamente en datos estructurados. Antes del commit 3f61e79, se identificó una vulnerabilidad crítica en el flujo de trabajo .github/workflows/benchmark-bot.yml, donde se puede activar un issue_comment mediante el cuerpo @benchmark. Este flujo de trabajo es susceptible de explotación, ya que extrae ${{ github.event.issue.number }}, que corresponde a la rama del PR manipulada por actores potencialmente maliciosos, y donde se puede ejecutar código no confiable. La ejecución de código no confiable puede provocar la exfiltración de GITHUB_TOKEN, que en este flujo de trabajo tiene permisos de escritura en la mayoría de los ámbitos, en particular en el de contenido, y podría provocar la toma de control del repositorio. Esto se solucionó con el commit 3f61e79.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en Ruby SAML (CVE-2025-54572)
Fecha de publicación:
30/07/2025
Idioma:
Español
La librería Ruby SAML permite implementar el lado cliente de una autorización SAML. En las versiones 1.18.0 y anteriores, existe una vulnerabilidad de denegación de servicio en ruby-saml, incluso con la opción message_max_bytesize configurada. Esta vulnerabilidad se produce porque la respuesta SAML se valida para el formato Base64 antes de verificar el tamaño del mensaje, lo que puede provocar un agotamiento de recursos. Esto se solucionó en la versión 1.18.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/11/2025
Suscribirse a Vulnerabilidades