Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en eGroupWare 17.1.20190111 (CVE-2023-38329)
Fecha de publicación:
11/07/2025
Idioma:
Español
Se descubrió un problema en eGroupWare 17.1.20190111. Existe una vulnerabilidad de cross-site scripting (XSS) reflejado en calendar/freebusy.php, que permite a atacantes remotos no autenticados inyectar código web o HTML arbitrario en el parámetro HTTP/GET "usuario", que refleja su entrada sin depurar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2025

Vulnerabilidad en JGM Pandoc v3.6.4 (CVE-2025-51591)
Fecha de publicación:
11/07/2025
Idioma:
Español
Server-Side Request Forgery (SSRF) en JGM Pandoc v3.6.4 permite a los atacantes obtener acceso y comprometer toda la infraestructura mediante la inyección de un iframe manipulado específicamente.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en Ansible (CVE-2025-53861)
Fecha de publicación:
11/07/2025
Idioma:
Español
Se detectó una falla en Ansible. Las cookies sensibles sin indicadores de seguridad en canales no cifrados pueden provocar ataques de Man-in-the-Middle (MitM) y Cross-site scripting (XSS), lo que permite a los atacantes leer los datos transmitidos.
Gravedad CVSS v3.1: BAJA
Última modificación:
11/08/2025

Vulnerabilidad en Ansible (CVE-2025-53862)
Fecha de publicación:
11/07/2025
Idioma:
Español
Se detectó una falla en Ansible. Tres endpoints de la API son accesibles y devuelven respuestas detalladas y no autenticadas. Esta falla permite que un usuario malintencionado acceda a datos que podrían contener información importante.
Gravedad CVSS v3.1: BAJA
Última modificación:
11/08/2025

Vulnerabilidad en Schneider Electric SE (CVE-2025-6788)
Fecha de publicación:
11/07/2025
Idioma:
Español
Existe una vulnerabilidad CWE-668: Exposición de recursos a una esfera incorrecta que expone los recursos de diagramas TGML a la esfera de control incorrecta, lo que proporciona a otros usuarios autenticados un acceso potencialmente inapropiado a los diagramas TGML.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Schneider Electric SE (CVE-2025-50125)
Fecha de publicación:
11/07/2025
Idioma:
Español
Existe una vulnerabilidad CWE-918: Server-Side Request Forgery (SSRF) que podría provocar la ejecución de código remoto no autenticado cuando se accede al servidor a través de la red con conocimiento de URL ocultas y manipulación del encabezado de solicitud del host.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Schneider Electric SE (CVE-2025-50124)
Fecha de publicación:
11/07/2025
Idioma:
Español
Existe una vulnerabilidad CWE-269: Gestión inadecuada de privilegios que podría provocar una escalada de privilegios cuando se accede al servidor mediante una cuenta privilegiada mediante una consola y mediante la explotación de un script de configuración.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Schneider Electric SE (CVE-2025-50121)
Fecha de publicación:
11/07/2025
Idioma:
Español
Existe una vulnerabilidad CWE-78: Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ('Inyección de comandos del sistema operativo') que podría causar la ejecución remota de código no autenticado al crear una carpeta maliciosa a través de la interfaz web HTTP cuando está habilitada. HTTP está deshabilitado de forma predeterminada.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Schneider Electric SE (CVE-2025-50122)
Fecha de publicación:
11/07/2025
Idioma:
Español
Existe una vulnerabilidad CWE-331: Entropía insuficiente que podría provocar el descubrimiento de la contraseña de root cuando el algoritmo de generación de contraseñas se somete a ingeniería inversa con acceso a artefactos de instalación o actualización.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Schneider Electric SE (CVE-2025-50123)
Fecha de publicación:
11/07/2025
Idioma:
Español
Existe una vulnerabilidad CWE-94: Control inadecuado de la generación de código ('Inyección de código') que podría provocar la ejecución remota de comandos por parte de una cuenta privilegiada cuando se accede al servidor mediante una consola y mediante la explotación de la entrada del nombre de host.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Hugging Face Transformers (CVE-2025-3933)
Fecha de publicación:
11/07/2025
Idioma:
Español
Se descubrió una vulnerabilidad de denegación de servicio por expresión regular (ReDoS) en la librería Hugging Face Transformers, específicamente en el método `token2json()` de la clase DonutProcessor. Esta vulnerabilidad afecta a las versiones 4.50.3 y anteriores, y se corrigió en la versión 4.52.1. El problema surge del patrón de expresiones regulares ``, que puede explotarse para causar un consumo excesivo de CPU mediante cadenas de entrada manipuladas debido a un retroceso catastrófico. Esta vulnerabilidad puede provocar interrupciones del servicio, agotamiento de recursos y posibles vulnerabilidades del servicio API, lo que afecta las tareas de procesamiento de documentos que utilizan el modelo Donut.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/08/2025

Vulnerabilidad en Broken Link Notifier para WordPress (CVE-2025-6851)
Fecha de publicación:
11/07/2025
Idioma:
Español
El complemento Broken Link Notifier para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta la 1.3.0 incluida, a través de la función ajax_blinks(), que en última instancia invoca la función check_url_status_code(). Esto permite a atacantes no autenticados realizar solicitudes web a ubicaciones arbitrarias desde la aplicación web y puede utilizarse para consultar y modificar información de servicios internos.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2025
Suscribirse a Vulnerabilidades