Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Nessus (CVE-2025-24914)
Fecha de publicación:
18/04/2025
Idioma:
Español
Al instalar Nessus en una ubicación no predeterminada en un host Windows, las versiones de Nessus anteriores a la 10.8.4 no aplicaban permisos seguros a los subdirectorios. Esto podía permitir la escalada de privilegios locales si los usuarios no habían protegido los directorios en la ubicación de instalación no predeterminada. - CVE-2025-24914
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2025

Vulnerabilidad en Volmarg Personal Management System 1.4.65 (CVE-2025-28355)
Fecha de publicación:
18/04/2025
Idioma:
Español
Volmarg Personal Management System 1.4.65 es vulnerable a Cross-Site Request Forgery (CSRF), lo que permite a los atacantes ejecutar código arbitrario y obtener información confidencial a través del atributo de cookie SameSite cuyo valor predeterminado es ninguno.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2025

Vulnerabilidad en NodeBB v4.0.4 (CVE-2025-29512)
Fecha de publicación:
18/04/2025
Idioma:
Español
La vulnerabilidad de Cross Site Scripting (XSS) en NodeBB v4.0.4 y anteriores permite a atacantes remotos almacenar código arbitrario y potencialmente inutilizar la funcionalidad de IP de lista negra hasta que se elimine el contenido a través de la base de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en NodeBB v4.0.4 (CVE-2025-29513)
Fecha de publicación:
18/04/2025
Idioma:
Español
La vulnerabilidad de Cross Site Scripting (XSS) en NodeBB v4.0.4 y anteriores permite a atacantes remotos almacenar código arbitrario en el generador de tokens de acceso a la API de administración.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en DAEnetIP4 METO v1.25 (CVE-2025-28242)
Fecha de publicación:
18/04/2025
Idioma:
Español
La gestión incorrecta de sesiones en el endpoint /login_ok.htm de DAEnetIP4 METO v1.25 permite a los atacantes ejecutar un ataque de secuestro de sesión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2025

Vulnerabilidad en Nautel VX Series transmitters VX SW (CVE-2025-28236)
Fecha de publicación:
18/04/2025
Idioma:
Español
Se descubrió que Nautel VX Series transmitters VX SW v6.4.0 y anteriores contienen una vulnerabilidad de ejecución remota de código (RCE) durante el proceso de actualización del firmware. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario mediante el suministro de un paquete de actualización manipulado al endpoint /#/software/upgrades.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2025

Vulnerabilidad en WorldCast Systems ECRESO FM/DAB/TV Transmitter v1.10.1 (CVE-2025-28237)
Fecha de publicación:
18/04/2025
Idioma:
Español
Un problema en WorldCast Systems ECRESO FM/DAB/TV Transmitter v1.10.1 permite a atacantes autenticados escalar privilegios a través de un payload JSON manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/04/2025

Vulnerabilidad en Elber REBLE310 Firmware v5.5.1.R (CVE-2025-28238)
Fecha de publicación:
18/04/2025
Idioma:
Español
La gestión incorrecta de sesiones en Elber REBLE310 Firmware v5.5.1.R, modelo de equipo: REBLE310/RX10/4ASI permite a los atacantes ejecutar un ataque de secuestro de sesión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2025

Vulnerabilidad en BW Broadcast (CVE-2025-28233)
Fecha de publicación:
18/04/2025
Idioma:
Español
El control de acceso incorrecto en BW Broadcast TX600 (14980), TX300 (32990) (31448), TX150, TX1000, TX30 y TX50 Versión de hardware: 2, Versión de software: 1.6.0, Versión de control: 1.0, Versión de firmware AIO: 1.7 permite a los atacantes acceder a archivos de registro y extraer identificadores de sesión para ejecutar un ataque de secuestro de sesión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2025

Vulnerabilidad en Soundcraft Ui Series Firmware (CVE-2025-28235)
Fecha de publicación:
18/04/2025
Idioma:
Español
Una vulnerabilidad de divulgación de información en el componente /socket.io/1/websocket/ de los modelos Ui12 y Ui16 de Soundcraft Ui Series Firmware v1.0.7x y v1.0.5x permite a los atacantes acceder a las credenciales de administrador en texto sin formato.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/04/2025

Vulnerabilidad en Itel Electronics IP Stream v1.7.0.6 (CVE-2025-28231)
Fecha de publicación:
18/04/2025
Idioma:
Español
El control de acceso incorrecto en Itel Electronics IP Stream v1.7.0.6 permite a atacantes no autorizados ejecutar comandos arbitrarios con privilegios de administrador.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2025

Vulnerabilidad en HP Touchpoint Analytics Service (CVE-2025-1697)
Fecha de publicación:
18/04/2025
Idioma:
Español
Se ha identificado una posible vulnerabilidad de seguridad en HP Touchpoint Analytics Service para ciertos productos de PC HP con versiones anteriores a la 4.2.2439. Esta vulnerabilidad podría permitir que un atacante local aumente los privilegios. HP está proporcionando actualizaciones de software para mitigar esta posible vulnerabilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/04/2025
Suscribirse a Vulnerabilidades