Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Wivia 5 (CVE-2025-41385)
Fecha de publicación:
30/05/2025
Idioma:
Español
Existe un problema de inyección de comandos del sistema operativo en todas las versiones de Wivia 5. Si se explota esta vulnerabilidad, un usuario administrador con sesión iniciada podría ejecutar un comando arbitrario del sistema operativo.
Gravedad CVSS v4.0: ALTA
Última modificación:
04/06/2025

Vulnerabilidad en Laravel Rest API (CVE-2025-48490)
Fecha de publicación:
30/05/2025
Idioma:
Español
Laravel Rest API es un generador de API. Antes de la versión 2.13.0, se descubrió una vulnerabilidad de omisión de validación que permitía anular silenciosamente múltiples validaciones definidas para el mismo atributo. Debido a la forma en que el framework fusionaba las reglas de validación en múltiples contextos (como acciones de indexar, almacenar y actualizar), actores maliciosos podían explotar este comportamiento creando solicitudes que omiten las reglas de validación esperadas, lo que podría inyectar parámetros inesperados o peligrosos en la aplicación. Esto podría provocar que la API aceptara o procesara datos no autorizados, según el contexto en el que se omitiera la validación. Este problema se ha corregido en la versión 2.13.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en Valtimo (CVE-2025-48881)
Fecha de publicación:
30/05/2025
Idioma:
Español
Valtimo es una plataforma para la automatización de procesos de negocio. En las versiones 11.0.0.RELEASE a 11.3.3.RELEASE y 12.0.0.RELEASE a 12.12.0.RELEASE, todos los objetos con configuración de gestión de objetos pueden ser listados, visualizados, editados, creados o eliminados por usuarios no autorizados. Si las URL de los objetos se exponen a través de otros canales, su contenido puede visualizarse independientemente de la configuración de gestión de objetos. En el momento de la publicación, no se conocen parches. Una solución alternativa para este problema consiste en anular la seguridad del endpoint, tal como se define en ObjectenApiHttpSecurityConfigurer y ObjectManagementHttpSecurityConfigurer. Dependiendo de la implementación, esto podría provocar la pérdida de funcionalidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2025

Vulnerabilidad en Gradio (CVE-2025-48889)
Fecha de publicación:
30/05/2025
Idioma:
Español
Gradio es un paquete de Python de código abierto que permite la creación rápida de demos y aplicaciones web para modelos de aprendizaje automático, API o cualquier función arbitraria de Python. Antes de la versión 5.31.0, una vulnerabilidad de copia arbitraria de archivos en la función de marcado de Gradio permitía a atacantes no autenticados copiar cualquier archivo legible del sistema de archivos del servidor. Si bien los atacantes no pueden leer estos archivos copiados, pueden causar un ataque de denegación de servicio (DoS) al copiar archivos grandes (como /dev/urandom) para llenar el espacio del disco. Este problema se ha corregido en la versión 5.31.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/08/2025

Vulnerabilidad en Gearside Developer Dashboard para WordPress (CVE-2025-4429)
Fecha de publicación:
30/05/2025
Idioma:
Español
El complemento Gearside Developer Dashboard para WordPress hasta la versión 1.0.72 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2025

Vulnerabilidad en Integration for Salesforce and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms para WordPress (CVE-2025-4659)
Fecha de publicación:
30/05/2025
Idioma:
Español
El complemento Integration for Salesforce and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms para WordPress es vulnerable a la divulgación de ruta completa en todas las versiones hasta la 1.4.4 incluida. Esto permite a atacantes no autenticados obtener la ruta completa de la aplicación web, lo que puede utilizarse para otros ataques. La información mostrada no es útil por sí sola y requiere otra vulnerabilidad para que se produzcan daños en el sitio web afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en Minimal Share Buttons para WordPress (CVE-2025-5259)
Fecha de publicación:
30/05/2025
Idioma:
Español
El complemento Minimal Share Buttons para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'align' en todas las versiones hasta la 1.7.3 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en Spring Cloud Gateway Server (CVE-2025-41235)
Fecha de publicación:
30/05/2025
Idioma:
Español
Spring Cloud Gateway Server reenvía los encabezados X-Forwarded-For y Forwarded desde servidores proxy que no son de confianza.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/05/2025

Vulnerabilidad en FreeScout (CVE-2025-48482)
Fecha de publicación:
30/05/2025
Idioma:
Español
FreeScout es un servicio de asistencia gratuito y autoalojado, con buzón compartido. Antes de la versión 1.8.180, existía una vulnerabilidad de asignación masiva. El objeto Cliente se actualizaba mediante el método fill(), que procesaba campos como canal y channel_id. Sin embargo, se invocaba el método fill() con todos los datos proporcionados por el cliente, incluyendo valores inesperados para canal y channel_id, lo que provocaba una vulnerabilidad de asignación masiva. Este problema se ha corregido en la versión 1.8.180.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en FreeScout (CVE-2025-48483)
Fecha de publicación:
30/05/2025
Idioma:
Español
FreeScout es un servicio de asistencia gratuito y autoalojado, con buzón compartido. Antes de la versión 1.8.180, la aplicación era vulnerable a ataques de Cross-Site Scripting (XSS) debido a la validación y depuración incorrecta de los datos introducidos por el usuario durante la desinfección de la firma de correo. Un atacante puede inyectar código HTML arbitrario, incluyendo scripts JavaScript, en la página procesada por el navegador del usuario, lo que le permite robar datos confidenciales, secuestrar sesiones de usuario o realizar otras actividades maliciosas. Además, si un administrador accede a uno de estos correos electrónicos con una firma modificada, podría provocar una vulnerabilidad de Cross-Site Request Forgery (CSRF). Este problema se ha corregido en la versión 1.8.180.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en FreeScout (CVE-2025-48484)
Fecha de publicación:
30/05/2025
Idioma:
Español
FreeScout es un servicio de asistencia gratuito y autoalojado, con buzón compartido. Antes de la versión 1.8.178, la aplicación era vulnerable a ataques de Cross-Site Scripting (XSS) debido a la validación y la depuración incorrecta de los datos introducidos por el usuario en el cuerpo de datos POST de la conversación. Este problema se ha corregido en la versión 1.8.178.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en FreeScout (CVE-2025-48477)
Fecha de publicación:
30/05/2025
Idioma:
Español
FreeScout es un servicio de asistencia gratuito y autoalojado, con buzón compartido. Antes de la versión 1.8.180, la lógica de la aplicación requería que el usuario realizara una secuencia correcta de acciones para implementar una función, pero la aplicación permitía el acceso a dicha función sin completar correctamente una o más acciones de la secuencia. Esto permitía modificar los atributos del objeto Buzón mediante el método fill. Este problema se solucionó en la versión 1.8.180.
Gravedad CVSS v4.0: ALTA
Última modificación:
04/06/2025
Suscribirse a Vulnerabilidades