Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en juju/utils (CVE-2025-6224)
Fecha de publicación:
01/07/2025
Idioma:
Español
La generación de certificados en juju/utils mediante la función cert.NewLeaf podría incluir información privada. Si este certificado se transfiriera por la red en texto plano, un atacante que escuchara en esa red podría rastrearlo y extraer fácilmente su clave privada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2025

Vulnerabilidad en ASR Falcon_Linux, Kestrel y Lapwing_Linux (CVE-2025-49491)
Fecha de publicación:
01/07/2025
Idioma:
Español
La vulnerabilidad de apagado o liberación incorrecta de recursos en ASR Falcon_Linux, Kestrel y Lapwing_Linux en Linux (módulos de Traffic_Stat) permite la exposición a fugas de recursos. Esta vulnerabilidad está asociada a los archivos de programa Traffic_stat/Traffic_Service/Traffic_Service.C. Este problema afecta a Falcon_Linux, Kestrel y Lapwing_Linux anteriores a la versión 1536.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2025

Vulnerabilidad en ASR180x en lte-telephony (CVE-2025-49492)
Fecha de publicación:
01/07/2025
Idioma:
Español
Escritura fuera de los límites en ASR180x en lte-telephony. Puede causar un subdesbordamiento del búfer. Esta vulnerabilidad está asociada con los archivos de programa apps/atcmd_server/src/dev_api.C. Este problema afecta a Falcon_Linux, Kestrel y Lapwing_Linux anteriores a la v1536.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/12/2025

Vulnerabilidad en ASR180x y ASR190x (CVE-2025-49488)
Fecha de publicación:
01/07/2025
Idioma:
Español
La vulnerabilidad de apagado o liberación incorrecta de recursos en ASR180x y ASR190x en componentes del enrutador permite la exposición a fugas de recursos. Esta vulnerabilidad está asociada a los archivos de programa router/phonebook/pb.c. Este problema afecta a Falcon_Linux, Kestrel y Lapwing_Linux anteriores a la versión 1536.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2025

Vulnerabilidad en Ultra Addons para Contact Form 7 de WordPress (CVE-2025-6756)
Fecha de publicación:
01/07/2025
Idioma:
Español
El complemento Ultra Addons para Contact Form 7 de WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode UACF7_CUSTOM_FIELDS en todas las versiones hasta la 3.5.21 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2025

Vulnerabilidad en ASR180x (CVE-2025-49490)
Fecha de publicación:
01/07/2025
Idioma:
Español
Una vulnerabilidad de fuga de recursos en ASR180x del enrutador permite la exposición a fugas de recursos. Esta vulnerabilidad está asociada con los archivos de programa router/sms/sms.c. Este problema afecta a Falcon_Linux, Kestrel y Lapwing_Linux anteriores a la versión 1536.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2025

Vulnerabilidad en ASR Falcon_Linux, Kestrel y Lapwing_Linux (CVE-2025-49489)
Fecha de publicación:
01/07/2025
Idioma:
Español
La vulnerabilidad de apagado o liberación incorrecta de recursos en ASR Falcon_Linux, Kestrel y Lapwing_Linux en Linux (componentes con_mgr) permite la exposición a fugas de recursos. Esta vulnerabilidad está asociada a los archivos de programa con_mgr/dialer_task.C. Este problema afecta a Falcon_Linux, Kestrel y Lapwing_Linux anteriores a la versión 1536.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2025

Vulnerabilidad en ASR Microelectronics Co., Ltd. (CVE-2025-5072)
Fecha de publicación:
01/07/2025
Idioma:
Español
La vulnerabilidad de fuga de recursos en ASR180x, ASR190x en con_mgr permite la exposición de fuga de recursos. Este problema afecta a Falcon_Linux, Kestrel, Lapwing_Linux: antes de v1536.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2025

Vulnerabilidad en Pilz GmbH & Co. KG (CVE-2025-41656)
Fecha de publicación:
01/07/2025
Idioma:
Español
Un atacante remoto no autenticado puede ejecutar comandos arbitrarios en los dispositivos afectados con altos privilegios porque la autenticación para el servidor Node_RED no está configurada de forma predeterminada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Pilz GmbH & Co. KG (CVE-2025-41648)
Fecha de publicación:
01/07/2025
Idioma:
Español
Un atacante remoto no autenticado puede eludir el inicio de sesión en la aplicación web de los dispositivos afectados, lo que permite acceder y cambiar todas las configuraciones disponibles de IndustrialPI.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Opal Estate Pro – Property Management and Submission para WordPress (CVE-2025-6934)
Fecha de publicación:
01/07/2025
Idioma:
Español
El complemento Opal Estate Pro – Property Management and Submission para WordPress, utilizado por FullHouse - Real Estate Responsive WordPress Theme, es vulnerable a la escalada de privilegios en todas las versiones hasta la 1.7.5 incluida. Esto se debe a la falta de restricción de roles durante el registro en la función 'on_regiser_user'. Esto permite que atacantes no autenticados elijan arbitrariamente el rol asignado al registrarse, incluido el de Administrador.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Konica Minolta bizhub 227 Multifunction (CVE-2025-6081)
Fecha de publicación:
01/07/2025
Idioma:
Español
Las credenciales de protección insuficiente en LDAP en las impresoras Konica Minolta bizhub 227 Multifunction, versión GCQ-Y3 o anterior, permiten que un atacante reconfigura el dispositivo objetivo para usar un servicio LDAP externo controlado por el atacante. Si se configura una contraseña LDAP en el dispositivo objetivo, el atacante puede forzar su autenticación en el servicio LDAP controlado por el atacante. Esto le permitirá capturar la contraseña en texto plano del servicio LDAP configurado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades