Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Pluck CMS 4.7.20-dev (CVE-2025-46099)
Fecha de publicación:
23/07/2025
Idioma:
Español
En Pluck CMS 4.7.20-dev, un atacante autenticado puede cargar o manipular un archivo PHP manipulado en el directorio del módulo de álbumes y acceder a él a través de la lógica de enrutamiento del módulo en albums.site.php, lo que da como resultado la ejecución de un comando arbitrario a través de un parámetro GET.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/10/2025

Vulnerabilidad en SMA 100 (CVE-2025-40599)
Fecha de publicación:
23/07/2025
Idioma:
Español
Existe una vulnerabilidad de carga arbitraria de archivos autenticados en la interfaz de administración web de la serie SMA 100. Un atacante remoto con privilegios administrativos puede explotar esta vulnerabilidad para cargar archivos arbitrarios al sistema, lo que podría provocar la ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/11/2025

Vulnerabilidad en Marathon (CVE-2017-20198)
Fecha de publicación:
23/07/2025
Idioma:
Español
La interfaz de usuario de Marathon en DC/OS anterior a la versión 1.9.0 permite a usuarios no autenticados implementar contenedores Docker arbitrarios. Debido a la restricción incorrecta de las configuraciones de montaje de volúmenes, los atacantes pueden implementar un contenedor que monta el sistema de archivos root del host (/) con privilegios de lectura y escritura. Al usar una imagen de Docker maliciosa, el atacante puede escribir en /etc/cron.d/ del host, lo que permite la ejecución de código arbitrario con privilegios de root. Esto afecta a cualquier sistema donde el demonio de Docker respete las configuraciones de los contenedores de Marathon sin la aplicación de políticas.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/07/2025

Vulnerabilidad en Dicoogle PACS 2.5.0 (CVE-2018-25113)
Fecha de publicación:
23/07/2025
Idioma:
Español
Existe una vulnerabilidad de path traversal no autenticado en el servidor web Dicoogle PACS versión 2.5.0 y posiblemente anteriores. Esta vulnerabilidad permite a atacantes remotos leer archivos arbitrarios en el sistema subyacente mediante el envío de una solicitud manipulada al endpoint /exportFile con el parámetro UID. Una explotación exitosa puede revelar archivos confidenciales accesibles para el usuario del servidor web.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/07/2025

Vulnerabilidad en osCommerce Online Merchant 2.3.4.1 (CVE-2018-25114)
Fecha de publicación:
23/07/2025
Idioma:
Español
Existe una vulnerabilidad de ejecución remota de código en osCommerce Online Merchant versión 2.3.4.1 debido a una configuración predeterminada insegura y a la falta de autenticación en el flujo de trabajo del instalador. Por defecto, el directorio /install/ permanece accesible después de la instalación. Un atacante no autenticado puede invocar install_4.php, enviar datos POST manipulados e inyectar código PHP arbitrario en el archivo configure.php. Cuando la aplicación incluye posteriormente este archivo, se ejecuta el payload inyectado, lo que resulta en una vulnerabilidad completa del servidor.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/07/2025

Vulnerabilidad en Steppschuh 3.1.1.12 (CVE-2022-4978)
Fecha de publicación:
23/07/2025
Idioma:
Español
El Servidor de Control Remoto, mantenido por Steppschuh, versión 3.1.1.12, permite la ejecución remota de código sin autenticación cuando la autenticación está deshabilitada, que es la configuración predeterminada. El servidor expone un protocolo de control personalizado basado en UDP que acepta eventos de entrada de teclado remotos sin verificación. Un atacante en la misma red puede ejecutar una secuencia de comandos de teclado para iniciar un shell del sistema y ejecutar comandos arbitrarios, lo que compromete por completo el sistema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/07/2025

Vulnerabilidad en httpdasm 0.92 (CVE-2010-10012)
Fecha de publicación:
23/07/2025
Idioma:
Español
Existe una vulnerabilidad de path traversal en httpdasm versión 0.92, un servidor HTTP ligero de Windows, que permite a atacantes no autenticados leer archivos arbitrarios en el sistema host. Al enviar una solicitud GET especialmente manipulada que contiene una secuencia de barras invertidas codificadas en URL y patrones de directory traversal, un atacante puede escapar de la root web y acceder a archivos confidenciales fuera del directorio de destino.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/07/2025

Vulnerabilidad en Xdebug (CVE-2015-10141)
Fecha de publicación:
23/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección de comandos no autenticados en Xdebug, una extensión de depuración de PHP desarrollada por Derick Rethans, en las versiones 2.5.5 y anteriores. Cuando la depuración remota está habilitada, Xdebug escucha en el puerto 9000 y acepta comandos del protocolo del depurador sin autenticación. Un atacante puede enviar un comando eval manipulado a través de esta interfaz para ejecutar código PHP arbitrario, que puede invocar funciones a nivel de sistema como system() o passthru(). Esto compromete completamente el host bajo los privilegios del usuario del servidor web.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/07/2025

Vulnerabilidad en Deepin Linux (CVE-2016-15045)
Fecha de publicación:
23/07/2025
Idioma:
Español
Existe una vulnerabilidad de escalada de privilegios local en lastore-daemon, el gestor de paquetes del sistema utilizado en Deepin Linux (desarrollado por Wuhan Deepin Technology Co., Ltd.). En las versiones 0.9.53-1 (Deepin 15.5) y 0.9.66-1 (Deepin 15.7), la configuración de D-Bus permite a cualquier usuario del grupo sudo invocar el método InstallPackage sin autenticación de contraseña. Por defecto, el primer usuario creado en Deepin pertenece al grupo sudo. Un atacante con acceso a la shell puede manipular un paquete .deb que contenga un script malicioso posterior a la instalación y usar dbus-send para instalarlo mediante lastore-daemon, lo que provoca la ejecución de código arbitrario como root.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/07/2025

Vulnerabilidad en PACS-ACSS (CVE-2025-4411)
Fecha de publicación:
23/07/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en PACS-ACSS de Dataprom Informatics permite Cross-Site Scripting (XSS). Este problema afecta a PACS-ACSS: antes del 16.05.2025.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/07/2025

Vulnerabilidad en DJ-Flyer 1.0-3.2 para Joomla (CVE-2025-50127)
Fecha de publicación:
23/07/2025
Idioma:
Español
Se descubrió una vulnerabilidad SQLi en el componente DJ-Flyer 1.0-3.2 para Joomla. El problema permite a usuarios con privilegios ejecutar comandos SQL arbitrarios.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/07/2025

Vulnerabilidad en Komento 4.0.0-4.0.7 para Joomla (CVE-2025-54294)
Fecha de publicación:
23/07/2025
Idioma:
Español
Se descubrió una vulnerabilidad SQLi en el componente Komento 4.0.0-4.0.7 para Joomla. El problema permite a usuarios sin privilegios ejecutar comandos SQL arbitrarios.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
25/07/2025
Suscribirse a Vulnerabilidades