Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Tenda RX3 V1.0br_V16.03.13.11 (CVE-2025-44899)
Fecha de publicación:
06/05/2025
Idioma:
Español
Hay una vulnerabilidad de desbordamiento de pila en Tenda RX3 V1.0br_V16.03.13.11 En la función fromSetWifiGusetBasic de la URL web /goform/ WifiGuestSet, la manipulación del parámetro shareSpeed provoca un desbordamiento de pila.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/06/2025

Vulnerabilidad en Google (CVE-2025-0649)
Fecha de publicación:
06/05/2025
Idioma:
Español
La cadena de entrada JSON incorrecta en las versiones de servicio de Tensorflow de Google hasta la 2.18.0 permite una recursión potencialmente ilimitada que puede provocar un bloqueo del servidor.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/07/2025

Vulnerabilidad en Libxmp (CVE-2025-47256)
Fecha de publicación:
06/05/2025
Idioma:
Español
Desde Libxmp hasta la versión 4.6.2 hay un desbordamiento de búfer basado en pila en depack_pha en loaders/prowizard/pha.c a través de un módulo rastreador de formato Pha mal formado en un archivo .mod.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Crestron Automate VX (CVE-2025-47417)
Fecha de publicación:
06/05/2025
Idioma:
Español
Vulnerabilidad de exposición de información sensible a un actor no autorizado en Crestron Automate VX permite el uso indebido de la funcionalidad. Cuando la opción "Habilitar imágenes de depuración" en Crestron Automate VX está activa, las instantáneas del vídeo capturado o fragmentos del mismo se almacenan localmente en el sistema, sin que haya indicios visibles de que esto ocurra. Este problema afecta a Automate VX desde la versión 5.6.8161.21536 hasta la 6.4.0.49.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Quarkus (CVE-2024-12225)
Fecha de publicación:
06/05/2025
Idioma:
Español
Se detectó una vulnerabilidad en Quarkus en el módulo quarkus-security-webauthn. El módulo Quarkus WebAuthn publica endpoints REST predeterminados para el registro e inicio de sesión de los usuarios, a la vez que permite a los desarrolladores proporcionar endpoints REST personalizados. Cuando los desarrolladores proporcionan endpoints REST personalizados, los endpoints predeterminados permanecen accesibles, lo que podría permitir a los atacantes obtener una cookie de inicio de sesión que no tiene un usuario correspondiente en la aplicación Quarkus o, dependiendo de cómo esté escrita la aplicación, podría corresponder a un usuario existente sin relación con el atacante actual, lo que permite a cualquiera iniciar sesión como un usuario existente con solo conocer su nombre de usuario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en goshs (CVE-2025-46816)
Fecha de publicación:
06/05/2025
Idioma:
Español
goshs es un SimpleHTTPServer escrito en Go. A partir de la versión 0.3.4 y anteriores a la 1.0.5, ejecutar goshs sin argumentos permite que cualquiera pueda ejecutar comandos en el servidor. La función `dispatchReadPump` no verifica la opción `-c` de la CLI, lo que permite que cualquiera ejecute cualquier comando mediante websockets. La versión 1.0.5 corrige este problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en phpgt/Dom (CVE-2025-46820)
Fecha de publicación:
06/05/2025
Idioma:
Español
phpgt/Dom proporciona acceso a las API modernas de DOM. Las versiones de phpgt/Dom anteriores a la 4.1.8 exponen el token GITHUB_TOKEN en el artefacto de ejecución del flujo de trabajo de Dom. El archivo de flujo de trabajo ci.yml utiliza actions/upload-artifact@v4 para cargar el artefacto de compilación. Este artefacto es un archivo zip del directorio actual, que incluye el archivo .git/config generado automáticamente que contiene el token GITHUB_TOKEN de la ejecución. Dado que el artefacto se puede descargar antes de que finalice el flujo de trabajo, un atacante puede extraer el token del artefacto durante unos segundos y usarlo con la API de GitHub para enviar código malicioso o reescribir las confirmaciones de versiones en el repositorio. Cualquier usuario intermedio del repositorio puede verse afectado, pero el token solo debería ser válido mientras dure la ejecución del flujo de trabajo, lo que limita el tiempo de explotación. La versión 4.1.8 soluciona el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-4388)
Fecha de publicación:
06/05/2025
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) reflejado en Liferay Portal 7.4.0 a 7.4.3.131 y Liferay DXP 2024.Q4.0 a 2024.Q4.5, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.12, 7.4 GA hasta la actualización 92 permite que un atacante remoto no autenticado inyecte JavaScript en modules/apps/marketplace/marketplace-app-manager-web.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en TCP de Logstash (CVE-2025-37730)
Fecha de publicación:
06/05/2025
Idioma:
Español
Una validación incorrecta del certificado en la salida TCP de Logstash podría provocar un ataque de intermediario (MitM) en modo “client”, ya que no se estaba realizando la verificación del nombre de host en la salida TCP cuando se configuraba ssl_verification_mode => full.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Tenda RX3 V1.0br_V16.03.13.11 (CVE-2025-44900)
Fecha de publicación:
06/05/2025
Idioma:
Español
En Tenda RX3 V1.0br_V16.03.13.11 en la función GetParentControlInfo de la URL web /goform/GetParentControlInfo, la manipulación del parámetro mac provoca un desbordamiento de pila.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en ZITADEL (CVE-2025-46815)
Fecha de publicación:
06/05/2025
Idioma:
Español
El software de infraestructura de identidad ZITADEL ofrece a los desarrolladores la posibilidad de gestionar sesiones de usuario mediante la API de sesión. Esta API permite el uso de proveedores de identidad (IdP) para la autenticación, conocidos como intentos de IdP. Tras un intento de IdP exitoso, el cliente recibe un ID y un token en una URI predefinida. Estos ID y token pueden utilizarse para autenticar al usuario o su sesión. Sin embargo, antes de las versiones 3.0.0, 2.71.9 y 2.70.10, era posible explotar esta función mediante el uso repetido de intentos. Esto permitía a un atacante con acceso a la URI de la aplicación recuperar el ID y el token, lo que le permitía autenticarse en nombre del usuario. Es importante tener en cuenta que el uso de factores adicionales (MFA) impide un proceso de autenticación completo y, en consecuencia, el acceso a la API de ZITADEL. Las versiones 3.0.0, 2.71.9 y 2.70.10 contienen una solución para este problema. No se conocen workarounds aparte de la actualización.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2025

Vulnerabilidad en Kibana (CVE-2025-25014)
Fecha de publicación:
06/05/2025
Idioma:
Español
Una vulnerabilidad de contaminación del prototipo en Kibana conduce a la ejecución de código arbitrario a través de solicitudes HTTP manipuladas para endpoints de aprendizaje automático y de generación de informes.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/10/2025
Suscribirse a Vulnerabilidades