Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en LibreOffice (CVE-2025-1080)
Fecha de publicación:
04/03/2025
Idioma:
Español
LibreOffice admite esquemas URI de Office para permitir la integración de LibreOffice en el navegador con el servidor MS SharePoint. Se agregó un esquema adicional 'vnd.libreoffice.command' específico para LibreOffice. En las versiones afectadas de LibreOffice, se podía construir un vínculo en un navegador que usara ese esquema con una URL interna incrustada que, cuando se pasaba a LibreOffice, podía llamar a macros internas con argumentos arbitrarios. Este problema afecta a LibreOffice: desde la versión 24.8 hasta la 24.8.5, desde la versión 25.2 hasta la 25.2.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/12/2025

Vulnerabilidad en Temporary Elevated Access Management (TEAM) for AWS IAM Identity Center (CVE-2025-1969)
Fecha de publicación:
04/03/2025
Idioma:
Español
La validación incorrecta de la entrada de solicitudes en Temporary Elevated Access Management (TEAM) for AWS IAM Identity Center permite que un usuario modifique una solicitud válida y falsifique una aprobación en TEAM. Actualice TEAM a la última versión v.1.2.2. Siga las instrucciones para actualizar la documentación de TEAM para el proceso de actualización.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/10/2025

Vulnerabilidad en DZS Router Web Interface (CVE-2025-26202)
Fecha de publicación:
04/03/2025
Idioma:
Español
Existe una vulnerabilidad de cross site scripting (XSS) en el campo Frase de contraseña WPA/WAPI de la configuración de seguridad inalámbrica (bandas de 2,4 GHz y 5 GHz) en la interfaz web del enrutador DZS. Un atacante autenticado puede inyectar código JavaScript malicioso en el campo de frase de contraseña, que se almacena y se ejecuta posteriormente cuando un administrador ve la frase de contraseña a través de la opción "Haga clic aquí para visualizar" en la página de estado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2025

Vulnerabilidad en PHPGurukul Restaurant Table Booking System 1.0 (CVE-2025-1952)
Fecha de publicación:
04/03/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Restaurant Table Booking System 1.0. Se trata de una función desconocida del archivo /admin/password-recovery.php. La manipulación del argumento username/mobileno provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/04/2025

Vulnerabilidad en ZZCMS 2025 (CVE-2025-1949)
Fecha de publicación:
04/03/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad, que se ha clasificado como problemática, en ZZCMS 2025. Este problema afecta a algunos procesos desconocidos del archivo /3/ucenter_api/code/register_nodb.php del componente URL Handler. La manipulación del argumento $_SERVER['PHP_SELF'] provoca cross site scripting. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en hzmanyun Education and Training System 2.1.3 (CVE-2025-1947)
Fecha de publicación:
04/03/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en hzmanyun Education and Training System 2.1.3. Afecta a la función scorm del archivo UploadImageController.java. La manipulación del argumento param provoca la inyección de comandos. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en hzmanyun Education and Training System 2.1 (CVE-2025-1946)
Fecha de publicación:
04/03/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad en hzmanyun Education and Training System 2.1. Se ha calificado como crítica. Este problema afecta a la función exportPDF del archivo /user/exportPDF. La manipulación del argumento id provoca la inyección de comandos. El ataque puede ejecutarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en Cisco Meraki (CVE-2019-1815)
Fecha de publicación:
04/03/2025
Idioma:
Español
Se descubrió una vulnerabilidad de seguridad en la funcionalidad de la página de estado local de los modelos de dispositivos de seguridad MX67 y MX68 de Cisco Meraki que puede permitir que personas no autenticadas accedan y descarguen registros que contienen información confidencial y privilegiada del dispositivo. La vulnerabilidad se debe a un control de acceso inadecuado a los archivos que contienen información de depuración y mantenimiento, y solo se puede explotar cuando la página de estado local está habilitada en el dispositivo. Un atacante que aproveche esta vulnerabilidad puede obtener acceso a claves precompartidas inalámbricas, claves de VPN de sitio a sitio y otra información confidencial. En determinadas circunstancias, esta información puede permitir que un atacante obtenga acceso de nivel administrativo al dispositivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2025

Vulnerabilidad en Cisco AsyncOS para Cisco Content Security Management Appliance (CVE-2020-3122)
Fecha de publicación:
04/03/2025
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco AsyncOS para Cisco Content Security Management Appliance (SMA) podría permitir que un atacante remoto no autenticado obtenga información confidencial de la red.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/07/2025

CVE-2024-41147
Fecha de publicación:
04/03/2025
Idioma:
Español
Vulnerabilidad de escritura fuera de límites en la funcionalidad `ma_dr_flac__decode_samples__lpc` de Miniaudio miniaudio v0.11.21. Un archivo .flac especialmente preparado puede ocasionar una corrupción de memoria. Un atacante pod?ia proporcionar un archivo malicioso para explotar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2025

Vulnerabilidad en Carrier Global Corporation (CVE-2024-10930)
Fecha de publicación:
04/03/2025
Idioma:
Español
Existe una vulnerabilidad en el elemento de ruta de búsqueda no controlada que podría permitir que un actor malintencionado realice un secuestro de DLL y ejecute código arbitrario con privilegios aumentados.
Gravedad CVSS v4.0: ALTA
Última modificación:
05/02/2026

Vulnerabilidad en Zitadel (CVE-2025-27507)
Fecha de publicación:
04/03/2025
Idioma:
Español
El software de infraestructura de identidad de código abierto Zitadel permite a los administradores desactivar el autorregistro de usuarios. La API de administración de ZITADEL contiene vulnerabilidades de referencia directa a objetos inseguros (IDOR) que permiten a los usuarios autenticados, sin roles de IAM específicos, modificar configuraciones confidenciales. Si bien varios endpoints se ven afectados, la vulnerabilidad más crítica radica en la capacidad de manipular configuraciones LDAP. Los clientes que no utilizan LDAP para la autenticación no corren el riesgo de sufrir los aspectos más graves de esta vulnerabilidad. Sin embargo, se recomienda encarecidamente actualizar a la versión parcheada para solucionar todos los problemas identificados. Esta vulnerabilidad se ha corregido en 2.71.0, 2.70.1, 2.69.4, 2.68.4, 2.67.8, 2.66.11, 2.65.6, 2.64.5 y 2.63.8.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/08/2025
Suscribirse a Vulnerabilidades