Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en NI LabVIEW 2025 Q1 (CVE-2025-2634)
Fecha de publicación:
23/07/2025
Idioma:
Español
Una vulnerabilidad de lectura fuera de los límites, debida a una comprobación incorrecta de los límites en NI LabVIEW en fontmgr, puede provocar la divulgación de información o la ejecución de código arbitrario. Para explotarla con éxito, el atacante debe obligar al usuario a abrir un VI especialmente manipulado. Esta vulnerabilidad afecta a NI LabVIEW 2025 Q1 y versiones anteriores.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/08/2025

Vulnerabilidad en pam-config (CVE-2025-6018)
Fecha de publicación:
23/07/2025
Idioma:
Español
Se ha descubierto una vulnerabilidad de Escalada de Privilegios Locales (LPE) en pam-config, dentro de los Módulos de Autenticación Conectables (PAM) de Linux. Esta falla permite a un atacante local sin privilegios (por ejemplo, un usuario conectado por SSH) obtener los privilegios elevados normalmente reservados para un usuario "allow_active" físicamente presente. El mayor riesgo es que el atacante pueda entonces realizar todas las acciones "allow_active yes" de Polkit, que normalmente están restringidas a los usuarios de consola, lo que podría permitirle obtener control no autorizado sobre las configuraciones del sistema, los servicios u otras operaciones sensibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en SMA 100 (CVE-2025-40596)
Fecha de publicación:
23/07/2025
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer basada en pila en la interfaz web de la serie SMA100 permite que un atacante remoto no autenticado provoque una denegación de servicio (DoS) o potencialmente resulte en la ejecución de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/08/2025

Vulnerabilidad en SMA 100 (CVE-2025-40597)
Fecha de publicación:
23/07/2025
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer basada en montón en la interfaz web de la serie SMA100 permite que un atacante remoto no autenticado provoque una denegación de servicio (DoS) o potencialmente resulte en la ejecución de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/08/2025

Vulnerabilidad en SMA 100 (CVE-2025-40598)
Fecha de publicación:
23/07/2025
Idioma:
Español
Existe una vulnerabilidad de cross-site scripting (XSS) reflejado en la interfaz web de la serie SMA100, que permite que un atacante remoto no autenticado potencialmente ejecute código JavaScript arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/08/2025

Vulnerabilidad en IBM Engineering Systems Design Rhapsody (CVE-2025-33020)
Fecha de publicación:
23/07/2025
Idioma:
Español
IBM Engineering Systems Design Rhapsody 9.0.2, 10.0 y 10.0.1 transmite información confidencial sin cifrado, lo que podría permitir que un atacante obtenga información altamente confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/08/2025

Vulnerabilidad en IBM Engineering Systems Design Rhapsody (CVE-2025-33076)
Fecha de publicación:
23/07/2025
Idioma:
Español
IBM Engineering Systems Design Rhapsody 9.0.2, 10.0 y 10.0.1 es vulnerable a un desbordamiento de búfer basado en la pila, causado por una comprobación incorrecta de los límites. Un usuario local podría desbordar el búfer y ejecutar código arbitrario en el sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/08/2025

Vulnerabilidad en IBM Engineering Systems Design Rhapsody (CVE-2025-33077)
Fecha de publicación:
23/07/2025
Idioma:
Español
IBM Engineering Systems Design Rhapsody 9.0.2, 10.0 y 10.0.1 es vulnerable a un desbordamiento de búfer basado en la pila, causado por una comprobación incorrecta de los límites. Un usuario local podría desbordar el búfer y ejecutar código arbitrario en el sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/08/2025

Vulnerabilidad en IBM Db2 Mirror para i (CVE-2025-36116)
Fecha de publicación:
23/07/2025
Idioma:
Español
La interfaz gráfica de usuario de IBM Db2 Mirror para i 7.4, 7.5 y 7.6 se ve afectada por una vulnerabilidad de secuestro de WebSocket entre sitios. Al enviar una solicitud especialmente manipulada, un agente malicioso no autenticado podría explotar esta vulnerabilidad para rastrear una conexión WebSocket existente y, posteriormente, realizar de forma remota operaciones no permitidas para el usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/08/2025

Vulnerabilidad en IBM Db2 Mirror para i (CVE-2025-36117)
Fecha de publicación:
23/07/2025
Idioma:
Español
IBM Db2 Mirror para i 7.4, 7.5 y 7.6 no prohíbe el ID de sesión después de su uso, lo que podría permitir que un usuario autenticado se haga pasar por otro usuario en el sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/08/2025

Vulnerabilidad en Apache HTTP Server 2.4.64 (CVE-2025-54090)
Fecha de publicación:
23/07/2025
Idioma:
Español
Un error en Apache HTTP Server 2.4.64 provoca que todas las pruebas "RewriteCond expr ..." se evalúen como "verdaderas". Se recomienda a los usuarios actualizar a la versión 2.4.65, que soluciona el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Pluck CMS 4.7.20-dev (CVE-2025-46099)
Fecha de publicación:
23/07/2025
Idioma:
Español
En Pluck CMS 4.7.20-dev, un atacante autenticado puede cargar o manipular un archivo PHP manipulado en el directorio del módulo de álbumes y acceder a él a través de la lógica de enrutamiento del módulo en albums.site.php, lo que da como resultado la ejecución de un comando arbitrario a través de un parámetro GET.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/10/2025
Suscribirse a Vulnerabilidades