Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Russound MBX-PRE-D67F (CVE-2025-50475)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección de comandos del sistema operativo en la versión 3.1.6 del firmware Russound MBX-PRE-D67F, que permite a atacantes no autenticados ejecutar comandos arbitrarios como root mediante una entrada manipulada en el parámetro hostname en las solicitudes de configuración de red. Esta vulnerabilidad se deriva de la neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo dentro del controlador de configuración de red, lo que permite la ejecución remota de código con los privilegios más altos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en CS Cart 4.18.3 (CVE-2025-50849)
Fecha de publicación:
31/07/2025
Idioma:
Español
CS Cart 4.18.3 es vulnerable a la Referencia Directa a Objetos Insegura (IDOR). La función de perfil de usuario permite habilitar o deshabilitar stickers mediante un parámetro (company_id) enviado en la solicitud. Sin embargo, esta operación no se valida correctamente en el servidor. Un usuario autenticado puede manipular la solicitud para afectar las cuentas de otros usuarios y activar o desactivar la configuración de stickers modificando el company_id u otros identificadores de objeto.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/07/2025

Vulnerabilidad en A10 Networks AX Loadbalancer (CVE-2014-125125)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de path traversal en las versiones 2.6.1-GR1-P5, 2.7.0 y anteriores de A10 Networks AX Loadbalancer. La vulnerabilidad reside en la gestión del parámetro filename en el endpoint /xml/downloads, que no depura correctamente la entrada del usuario. Un atacante no autenticado puede explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas que contienen secuencias de directory traversal para leer archivos arbitrarios fuera del directorio de destino. Los archivos devueltos por el endpoint vulnerable se eliminan del sistema tras su recuperación. Esto puede provocar la divulgación no autorizada de información confidencial, como certificados SSL y claves privadas, así como la eliminación involuntaria de archivos.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/07/2025

Vulnerabilidad en Simple E-Document (CVE-2014-125126)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de carga de archivos sin restricciones en las versiones 3.0 a 3.1 de Simple E-Document que permite a un atacante no autenticado eludir la autenticación mediante el envío de un encabezado de cookie específico (access=3) con las solicitudes HTTP. El mecanismo de carga de la aplicación no restringe los tipos de archivo ni valida ni depura la información proporcionada por el usuario, lo que permite a los atacantes cargar scripts .php maliciosos. La autenticación se puede eludir por completo mediante el suministro de una cookie especialmente manipulada (access=3), que otorga acceso a la función de carga sin credenciales válidas. Si la carga de archivos está habilitada en el servidor, el atacante puede cargar un shell web y obtener la ejecución remota de código con los privilegios del usuario del servidor web, lo que podría comprometer por completo el sistema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en Sielox AnyWare v2.1.2 (CVE-2024-34328)
Fecha de publicación:
31/07/2025
Idioma:
Español
Una redirección abierta en Sielox AnyWare v2.1.2 permite a los atacantes ejecutar un ataque de intermediario a través de una URL manipulada específicamente para ello.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/07/2025

Vulnerabilidad en OAstium VoIP PBX astium-confweb-2.1-25399 (CVE-2013-10043)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad en OAstium VoIP PBX astium-confweb-2.1-25399 y versiones anteriores, donde una validación de entrada incorrecta en el script logon.php permite a un atacante eludir la autenticación mediante inyección SQL. Una vez autenticado como administrador, el atacante puede cargar código PHP arbitrario a través del campo importcompany en import.php, lo que resulta en la ejecución remota de código. El payload malicioso se inyecta en /usr/local/astium/web/php/config.php y se ejecuta con privilegios de root al activar una recarga de la configuración mediante sudo /sbin/service astcfgd reload. Una explotación exitosa compromete completamente el sistema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en vAPV de Array Networks (CVE-2014-125121)
Fecha de publicación:
31/07/2025
Idioma:
Español
Los dispositivos vAPV (versión 8.3.2.17) y vxAG (versión 9.2.0.34) de Array Networks se ven afectados por una vulnerabilidad de escalada de privilegios causada por una combinación de credenciales SSH (o clave privada SSH) codificadas y permisos inseguros en un script de inicio. Los dispositivos se entregan con un inicio de sesión SSH predeterminado o una clave privada DSA codificada, lo que permite a un atacante autenticarse remotamente con privilegios limitados. Una vez autenticado, un atacante puede sobrescribir el script /ca/bin/monitor.sh, con permisos de escritura universal, con comandos arbitrarios. Dado que este script se ejecuta con privilegios elevados a través del binario del backend, al habilitar el monitor de depuración mediante backend -c "debug monitor on", se activa la ejecución del payload del atacante como root. Esto permite una vulnerabilidad completa del sistema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en Linksys WRT120N (CVE-2014-125122)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer en la pila en el endpoint tmUnblock.cgi del router inalámbrico Linksys WRT120N. La vulnerabilidad se activa al enviar una solicitud HTTP POST especialmente manipulada con un parámetro TM_Block_URL demasiado largo al endpoint. Al explotar esta vulnerabilidad, un atacante remoto no autenticado puede sobrescribir la memoria de forma controlada, lo que le permite restablecer temporalmente la contraseña de administrador del dispositivo a un valor vacío. Esto permite el acceso no autorizado a la interfaz de administración web del router sin necesidad de credenciales válidas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/07/2025

Vulnerabilidad en Kloxo (CVE-2014-125123)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección SQL no autenticada en el panel de control de alojamiento web Kloxo (desarrollado por LXCenter) anterior a la versión 6.1.12. La falla reside en el parámetro login-name pasado a lbin/webcommand.php, que no depura correctamente la entrada, lo que permite a un atacante extraer la contraseña del administrador de la base de datos del servidor. Tras recuperar credenciales válidas, el atacante puede autenticarse en el panel de control Kloxo y usar la función del Centro de Comandos (display.php) para ejecutar comandos arbitrarios del sistema operativo como root en el sistema host subyacente. Se informó de la explotación de esta vulnerabilidad en enero de 2014.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en Pandora FMS (CVE-2014-125124)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de ejecución remota de comandos no autenticados en las versiones de Pandora FMS hasta la 5.0RC1 incluida a través de la interfaz web de Anyterm, que escucha en el puerto TCP 8023. El endpoint anyterm-module acepta la entrada de usuario no autorizada mediante el parámetro p y la inyecta directamente en un comando de shell, lo que permite la ejecución de comandos arbitrarios como usuario de Pandora. En ciertas versiones (en particular, la 4.1 y la 5.0RC1), el usuario de Pandora puede elevar los privilegios a root sin contraseña mediante una cadena que incluye la cuenta de usuario artica. Esta cuenta suele instalarse sin contraseña y está configurada para ejecutar sudo sin autenticación. Por lo tanto, es posible comprometer completamente el sistema sin credenciales.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en freeFTPd (CVE-2013-10042)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer en la pila en freeFTPd versión 1.0.10 y anteriores, relacionada con el manejo del comando FTP PASS. Cuando un atacante envía una cadena de contraseña especialmente manipulada, la aplicación no valida la longitud de la entrada, lo que provoca una corrupción de memoria. Esto puede provocar una denegación de servicio o la ejecución de código arbitrario. Para explotarla, es necesario habilitar la cuenta de usuario anónima.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
26/11/2025

Vulnerabilidad en ProcessMaker (CVE-2013-10035)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección de código en las versiones 2.x de código abierto de ProcessMaker al usar la interfaz predeterminada "neoclassic". Un usuario autenticado puede ejecutar código PHP arbitrario a través de múltiples endpoints, como appFolderAjax.php, casesStartPage_Ajax.php y cases_SchedulerGetPlugins.php, al proporcionar solicitudes POST manipuladas a parámetros como action y params. Estos endpoints no validan la entrada del usuario e invocan directamente funciones PHP como system() con parámetros proporcionados por el usuario, lo que permite la ejecución remota de código. La vulnerabilidad afecta tanto a instalaciones de Linux como de Windows y está presente en las configuraciones predeterminadas de las versiones 2.0.23 a 2.5.1. La interfaz vulnerable no se puede eliminar a través de la interfaz web, y para su explotación solo se requieren credenciales de usuario válidas.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/07/2025
Suscribirse a Vulnerabilidades