Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Pion Interceptor (CVE-2025-49140)
Fecha de publicación:
09/06/2025
Idioma:
Español
Pion Interceptor es un framework para crear software de comunicación RTP/RTCP. Las versiones v0.1.36 a v0.1.38 contienen un error en una fábrica de paquetes RTP que puede explotarse para generar un pánico con SFU basado en Pion mediante paquetes RTP manipulados. Esto solo afecta a los usuarios que usan pion/interceptor. Los usuarios deben actualizar a la versión v0.1.39 o posterior, que valida que `padLen > 0 && padLen <= payloadLength` y devuelve un error en caso de desbordamiento, evitando así el pánico. Si no es posible actualizar, aplique el parche desde la solicitud de extracción manualmente o descarte los paquetes cuyo bit P esté configurado, pero cuyo padLen sea cero o mayor que la carga útil restante.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en GNU PSPP 82fb509fb2fedd33e7ac0c46ca99e108bb3bdffb (CVE-2025-5898)
Fecha de publicación:
09/06/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en GNU PSPP 82fb509fb2fedd33e7ac0c46ca99e108bb3bdffb. La función parse_variables_option del archivo utility/pspp-convert.c se ve afectada. La manipulación provoca escritura fuera de los límites. El ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en GNU PSPP 82fb509fb2fedd33e7ac0c46ca99e108bb3bdffb (CVE-2025-5899)
Fecha de publicación:
09/06/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como crítica en GNU PSPP 82fb509fb2fedd33e7ac0c46ca99e108bb3bdffb. Esta vulnerabilidad afecta a la función parse_variables_option del archivo utility/pspp-convert.c. La manipulación libera memoria que no está en el montón. Un ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en CyberData 011209 Intercom (CVE-2025-30184)
Fecha de publicación:
09/06/2025
Idioma:
Español
CyberData 011209 Intercom podría permitir que un usuario no autenticado acceda a la interfaz web a través de una ruta alternativa.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/08/2025

CVE-2025-49138
Fecha de publicación:
09/06/2025
Idioma:
Inglés
*** Pendiente de traducción *** HAX CMS PHP allows users to manage their microsite universe with a PHP backend. Prior to version 11.0.0, an authenticated Local File Inclusion (LFI) vulnerability in the HAXCMS saveOutline endpoint allows a low-privileged user to read arbitrary files on the server by manipulating the location field written into site.json. This enables attackers to exfiltrate sensitive system files such as /etc/passwd, application secrets, or configuration files accessible to the web server (www-data). The vulnerability stems from the way the HAXCMS backend handles the location field in the site's outline. When a user sends a POST request to /system/api/saveOutline, the backend stores the provided location value directly into the site.json file associated with the site, without validating or sanitizing the input. Later the location parameter is interpreted by the CMS to resolve and load the content for a given node. If the location field contains a relative path like `../../../etc/passwd`, the application will attempt to read and render that file. Version 11.0.0 fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/07/2025

Vulnerabilidad en HAX CMS PHP (CVE-2025-49139)
Fecha de publicación:
09/06/2025
Idioma:
Español
HAX CMS PHP permite a los usuarios gestionar su universo de micrositios con un backend PHP. Antes de la versión 11.0.0, en el editor de sitios HAX, los usuarios podían crear un bloque de sitio web para cargar otro sitio en un iframe. La aplicación permite introducir una URL de destino en el bloque de sitio web. Al visitar el sitio HAX, el navegador del cliente consultará la URL proporcionada. Un atacante autenticado puede crear un sitio HAX con un bloque de sitio web que apunte a un servidor controlado por el atacante que ejecute Responder o una herramienta similar. Posteriormente, el atacante puede realizar un ataque de phishing convenciendo a otro usuario de que visite su sitio HAX malicioso para obtener credenciales. La versión 11.0.0 incluye un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/07/2025

Vulnerabilidad en HAX CMS PHP (CVE-2025-49141)
Fecha de publicación:
09/06/2025
Idioma:
Español
HAX CMS PHP permite a los usuarios gestionar su universo de micrositios con un backend PHP. Antes de la versión 11.0.3, la función `gitImportSite` obtenía una URL de una solicitud POST y no validaba adecuadamente la entrada del usuario. La función `set_remote` posteriormente pasa esta entrada a `proc_open`, lo que provoca la inyección de comandos del sistema operativo. Un atacante autenticado puede manipular una URL que omita las comprobaciones de validación empleadas por las funciones `filter_var` y `strpos` para ejecutar comandos arbitrarios del sistema operativo en el servidor backend. El atacante puede extraer la salida del comando mediante una solicitud HTTP. La versión 11.0.3 incluye un parche para este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/07/2025

Vulnerabilidad en tarojs (CVE-2025-5896)
Fecha de publicación:
09/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en tarojs (hasta la versión 4.1.1). Se ha declarado problemática. Esta vulnerabilidad afecta al código desconocido del archivo taro/packages/css-to-react-native/src/index.js. La manipulación genera una complejidad ineficiente en las expresiones regulares. El ataque puede iniciarse en remoto. Actualizar a la versión 4.1.2 puede solucionar este problema. El parche se llama c2e321a8b6fc873427c466c69f41ed0b5e8814bf. Se recomienda actualizar el componente afectado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/07/2025

Vulnerabilidad en vuejs vue-cli (CVE-2025-5897)
Fecha de publicación:
09/06/2025
Idioma:
Español
Se encontró una vulnerabilidad en vuejs vue-cli hasta la versión 5.0.8. Se ha clasificado como problemática. Este problema afecta a la función HtmlPwaPlugin del archivo packages/@vue/cli-plugin-pwa/lib/HtmlPwaPlugin.js del componente Markdown Code Handler. La manipulación genera una complejidad ineficiente en las expresiones regulares. El ataque puede iniciarse en remoto.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/07/2025

Vulnerabilidad en HAX CMS PHP (CVE-2025-49137)
Fecha de publicación:
09/06/2025
Idioma:
Español
HAX CMS PHP permite a los usuarios gestionar su universo de micrositios con un backend PHP. Antes de la versión 11.0.0, la aplicación no depuraba adecuadamente la entrada del usuario, lo que permitía la ejecución de código JavaScript arbitrario. Los endpoints "saveNode" y "saveManifest" reciben la entrada del usuario y la almacenan en el esquema JSON del sitio. Este contenido se renderiza en el sitio HAX generado. Aunque la aplicación no permite a los usuarios proporcionar una etiqueta `script`, sí permite el uso de otras etiquetas HTML para ejecutar JavaScript. La versión 11.0.0 soluciona este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/07/2025

Vulnerabilidad en Caido (CVE-2025-49004)
Fecha de publicación:
09/06/2025
Idioma:
Español
Caido es un kit de herramientas de auditoría de seguridad web. Antes de la versión 0.48.0, debido a la falta de protección para la revinculación de DNS, Caido podía instalarse en un dominio controlado por un atacante. Esto permite que un sitio web malicioso secuestre el flujo de autenticación de Caido y ejecute código. Un sitio web malicioso instalado en el navegador puede secuestrar la instancia de Caido que se ejecuta localmente y ejecutar comandos remotos durante la configuración inicial. Incluso si la instancia de Caido ya está configurada, un atacante puede iniciar el flujo de autenticación mediante la revinculación de DNS. En este caso, la víctima debe autorizar la solicitud en dashboard.caido.io. Los usuarios deben actualizar a la versión 0.48.0 para recibir un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en libarchive (CVE-2025-5918)
Fecha de publicación:
09/06/2025
Idioma:
Español
Se ha identificado una vulnerabilidad en la librería libarchive. Esta falla puede activarse cuando se canalizan flujos de archivos a bsdtar, lo que podría permitir la lectura más allá del final del archivo. Esta lectura fuera de los límites puede tener consecuencias imprevistas, como un comportamiento impredecible del programa, corrupción de memoria o una condición de denegación de servicio.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/08/2025
Suscribirse a Vulnerabilidades