Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PAVO Inc. PAVO Pay (CVE-2025-4129)
Fecha de publicación:
21/07/2025
Idioma:
Español
Vulnerabilidad de omisión de autorización a través de una clave controlada por el usuario en PAVO Inc. PAVO Pay permite la explotación de identificadores confiables. Este problema afecta a PAVO Pay: antes del 13.05.2025.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en PAVO Inc. PAVO Pay (CVE-2025-4130)
Fecha de publicación:
21/07/2025
Idioma:
Español
Vulnerabilidad en el uso de credenciales codificadas en PAVO Inc. PAVO Pay permite leer constantes sensibles dentro de un ejecutable. Este problema afecta a PAVO Pay: antes del 13/05/2025.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Sophos Firewall (CVE-2024-13973)
Fecha de publicación:
21/07/2025
Idioma:
Español
Una vulnerabilidad de inyección SQL posterior a la autorización en WebAdmin de versiones de Sophos Firewall anteriores a 21.0 MR1 (21.0.1) puede provocar que los administradores logren la ejecución de código arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2025

Vulnerabilidad en PHPGurukul Online Banquet Booking System 1.0 (CVE-2025-7925)
Fecha de publicación:
21/07/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como problemática en PHPGurukul Online Banquet Booking System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /admin/login.php. La manipulación del argumento user_login/userpassword provoca cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Turpak Automatic Station Monitoring System (CVE-2025-4040)
Fecha de publicación:
21/07/2025
Idioma:
Español
La vulnerabilidad de omisión de autorización a través de una clave controlada por el usuario en Turpak Automatic Station Monitoring System permite la escalada de privilegios. Este problema afecta a Turpak Automatic Station Monitoring System: antes de 5.0.6.51.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en PowerDNS Recursor (CVE-2025-30192)
Fecha de publicación:
21/07/2025
Idioma:
Español
Un atacante que suplante las respuestas a las solicitudes con ECS habilitadas enviadas por el Recursor tiene mayor probabilidad de éxito que las consultas sin ECS habilitadas. La versión actualizada incluye varias mitigaciones contra intentos de suplantación de consultas con ECS habilitadas mediante el encadenamiento de solicitudes con ECS habilitadas y una validación más estricta de las respuestas recibidas. La mitigación más estricta se realiza cuando se habilita la nueva configuración outgoing.edns_subnet_harden (antiguamente edns-subnet-harden).
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en ParkingDoor (CVE-2025-41100)
Fecha de publicación:
21/07/2025
Idioma:
Español
Vulnerabilidad de autenticación incorrecta en ParkingDoor. Gracias a esta vulnerabilidad, es posible operar el dispositivo sin que se registre el acceso en la aplicación, incluso con los permisos de acceso revocados.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Akbim Software Online Exam Registration (CVE-2025-2301)
Fecha de publicación:
21/07/2025
Idioma:
Español
La vulnerabilidad de omisión de autorización a través de una clave controlada por Akbim Software Online Exam Registration permite la explotación de identificadores confiables. Este problema afecta a Online Exam Registration: antes del 14.03.2025.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en PHPGurukul Online Banquet Booking System 1.0 (CVE-2025-7924)
Fecha de publicación:
21/07/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como problemática en PHPGurukul Online Banquet Booking System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/admin-profile.php. La manipulación del argumento "adminname" provoca ataques de cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026

Vulnerabilidad en Two App Studio Journey 5.5.6 (CVE-2025-41458)
Fecha de publicación:
21/07/2025
Idioma:
Español
El almacenamiento sin cifrar en la base de datos en Two App Studio Journey v5.5.9 para iOS permite a atacantes locales extraer datos confidenciales mediante acceso directo al sistema de archivos de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Two App Studio Journey 5.5.6 (CVE-2025-41459)
Fecha de publicación:
21/07/2025
Idioma:
Español
La protección insuficiente contra la fuerza bruta y la manipulación en tiempo de ejecución en el componente de autenticación local en Two App Studio Journey 5.5.6 en iOS permite a los atacantes locales eludir el control de acceso biométrico y basado en PIN a través de repetidos intentos de PIN o inyección de código dinámico.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Turtek Software Eyotek (CVE-2025-5681)
Fecha de publicación:
21/07/2025
Idioma:
Español
Vulnerabilidad de omisión de autorización a través de una clave controlada por el usuario en Turtek Software Eyotek permite la explotación de identificadores confiables. Este problema afecta a Eyotek: antes del 23.06.2025.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades