Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WeGIA (CVE-2025-53824)
Fecha de publicación:
14/07/2025
Idioma:
Español
WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) Reflejado en el endpoint editar_permissoes.php de la aplicación WeGIA antes de la versión 3.4.4. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro msg_c. La versión 3.4.4 corrige el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en Dokploy (CVE-2025-53825)
Fecha de publicación:
14/07/2025
Idioma:
Español
Dokploy es una Plataforma como Servicio (PaaS) gratuita y autoalojada. Antes de la versión 0.24.3, una vulnerabilidad en la implementación de vista previa no autenticada en Dokploy permitía a cualquier usuario ejecutar código arbitrario y acceder a variables de entorno sensibles con solo abrir una solicitud de extracción en un repositorio público. Esto expone secretos y potencialmente permite la ejecución remota de código, poniendo en riesgo a todos los usuarios públicos de Dokploy que utilizan estas implementaciones de vista previa. La versión 0.24.3 contiene una solución para este problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/09/2025

Vulnerabilidad en LaRecipe (CVE-2025-53833)
Fecha de publicación:
14/07/2025
Idioma:
Español
LaRecipe es una aplicación que permite a los usuarios crear documentación con Markdown dentro de una aplicación Laravel. Las versiones anteriores a la 2.8.1 son vulnerables a la inyección de plantillas del lado del servidor (SSTI), lo que podría provocar la ejecución remota de código (RCE) en configuraciones vulnerables. Los atacantes podrían ejecutar comandos arbitrarios en el servidor, acceder a variables de entorno sensibles o escalar el acceso según la configuración del servidor. Se recomienda encarecidamente a los usuarios actualizar a la versión 2.8.1 o posterior para recibir un parche.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Caido (CVE-2025-53834)
Fecha de publicación:
14/07/2025
Idioma:
Español
Caido es un kit de herramientas de auditoría de seguridad web. Se descubrió una vulnerabilidad de cross-site scripting (XSS) reflejado en el componente de interfaz de usuario de Caido en versiones anteriores a la 0.49.0. Los mensajes de notificación pueden reflejar entradas de usuario no depuradas en ciertas herramientas como Match&Replace y Scope. Esto podría permitir que un atacante cree entradas que resulten en la ejecución de scripts arbitrarios. La versión 0.49.0 corrige el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en WeGIA (CVE-2025-53821)
Fecha de publicación:
14/07/2025
Idioma:
Español
WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Existe una vulnerabilidad de redirección abierta en la aplicación web anterior a la versión 3.4.5. El endpoint control.php permite especificar una URL arbitraria mediante el parámetro `nextPage`, lo que provoca una redirección incontrolada. La versión 3.4.5 contiene una solución para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/07/2025

Vulnerabilidad en WeGIA (CVE-2025-53820)
Fecha de publicación:
14/07/2025
Idioma:
Español
WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) Reflejado en el endpoint `index.php` de la aplicación WeGIA antes de la versión 3.4.5. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `erro`. La versión 3.4.5 incluye un parche para solucionar el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en Nix (CVE-2025-53819)
Fecha de publicación:
14/07/2025
Idioma:
Español
Nix es un gestor de paquetes para Linux y otros sistemas Unix. Las compilaciones con Nix 2.30.0 en macOS se ejecutaban con privilegios elevados (root), en lugar de los usuarios de la compilación. La corrección se aplicó a Nix 2.30.1. No se conocen soluciones alternativas.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Indico (CVE-2025-53640)
Fecha de publicación:
14/07/2025
Idioma:
Español
Indico es un sistema de gestión de eventos que utiliza Flask-Multipass, un sistema de autenticación multibackend para Flask. A partir de la versión 2.2 y anteriores a la 3.3.7, un endpoint utilizado para mostrar la información de los usuarios en ciertos campos (como las ACL) podía utilizarse indebidamente para volcar información básica del usuario (como nombre, afiliación y correo electrónico) de forma masiva. La versión 3.3.7 soluciona este problema. Los propietarios de instancias que permiten a cualquier persona crear una cuenta de usuario y que deseen restringir el acceso a esta información de usuario deberían considerar restringir la búsqueda de usuarios a los administradores. Como solución alternativa, es posible restringir el acceso a los endpoints afectados (por ejemplo, en la configuración del servidor web); sin embargo, esto interrumpiría el funcionamiento de ciertos campos de formulario, que ya no mostrarían la información de los usuarios incluidos en ellos, por lo que se recomienda encarecidamente actualizar la versión.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/09/2025

Vulnerabilidad en AIOHTTP (CVE-2025-53643)
Fecha de publicación:
14/07/2025
Idioma:
Español
AIOHTTP es un framework cliente/servidor HTTP asíncrono para asyncio y Python. En versiones anteriores a la 3.12.14, el analizador de Python era vulnerable a una vulnerabilidad de contrabando de solicitudes debido a que no analizaba las secciones finales de una solicitud HTTP. Si se instala una versión de aiohttp pura en Python (es decir, sin las extensiones habituales de C) o se habilita AIOHTTP_NO_EXTENSIONS, un atacante podría ejecutar un ataque de contrabando de solicitudes para eludir ciertas protecciones de firewall o proxy. La versión 3.12.14 incluye un parche para este problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
14/08/2025

Vulnerabilidad en GitHub Kanban MCP Server (CVE-2025-53818)
Fecha de publicación:
14/07/2025
Idioma:
Español
GitHub Kanban MCP Server es un servidor de Protocolo de Contexto de Modelo (MCP) para gestionar incidencias de GitHub en formato de tablero Kanban y optimizar la gestión de tareas LLM. Las versiones 0.3.0 y 0.4.0 del servidor MCP están escritas de forma que son vulnerables a ataques de vulnerabilidad de inyección de comandos como parte de la definición e implementación de algunas de sus herramientas. El servidor MCP expone la herramienta `add_comment`, que se basa en la API `exec` del proceso secundario de Node.js para ejecutar el comando de GitHub (`gh`). Esta API es insegura y vulnerable si se concatena con entradas de usuario no confiables. Al momento de la publicación, no se conocían parches disponibles.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en MeterSphere (CVE-2025-53639)
Fecha de publicación:
14/07/2025
Idioma:
Español
MeterSphere es una plataforma de pruebas continuas de código abierto. Antes de la versión 3.6.5-lts, el parámetro sortField en ciertos endpoints de la API no se validaba ni depuraba correctamente. Un atacante puede proporcionar una entrada manipulada para inyectar y ejecutar sentencias SQL arbitrarias mediante la función de ordenación. Esto podría provocar la modificación o eliminación del contenido de la base de datos, con la posible vulneración total de la integridad y disponibilidad de la base de datos de la aplicación. La versión 3.6.5-lts corrige este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/09/2025

Vulnerabilidad en ImageMagick (CVE-2025-53019)
Fecha de publicación:
14/07/2025
Idioma:
Español
ImageMagick es un software gratuito y de código abierto que se utiliza para editar y manipular imágenes digitales. En versiones anteriores a la 7.1.2-0 y la 6.9.13-26, en el comando `magick stream` de ImageMagick, especificar varios especificadores de formato `%d` consecutivos en una plantilla de nombre de archivo causaba una pérdida de memoria. Las versiones 7.1.2-0 y 6.9.13-26 corrigieron el problema.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025
Suscribirse a Vulnerabilidades