Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en yubiserver (CVE-2015-0843)
Fecha de publicación:
26/06/2025
Idioma:
Español
yubiserver anterior a 0.6 es propenso a desbordamientos de búfer debido al mal uso de sprintf.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/08/2025

Vulnerabilidad en Pycode-browser (CVE-2015-0849)
Fecha de publicación:
26/06/2025
Idioma:
Español
Las versiones anteriores a 1.0 de Pycode-browser son propensas a una predecible vulnerabilidad de archivos temporales.
Gravedad CVSS v3.1: BAJA
Última modificación:
06/08/2025

Vulnerabilidad en Ceph (CVE-2025-52555)
Fecha de publicación:
26/06/2025
Idioma:
Español
Ceph es una plataforma distribuida de almacenamiento de objetos, bloques y archivos. En las versiones 17.2.7, 18.2.1 a 18.2.4 y 19.0.0 a 19.2.2, un usuario sin privilegios puede escalar a privilegios de root en un CephFS montado con ceph-fuse mediante chmod 777 en un directorio propiedad de root para obtener acceso. Como resultado, un usuario puede leer, escribir y ejecutar en cualquier directorio propiedad de root siempre que lo modifique con chmod 777. Esto afecta la confidencialidad, la integridad y la disponibilidad. Este problema se ha corregido en las versiones 17.2.8, 18.2.5 y 19.2.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2025

Vulnerabilidad en IDENTIFICADOR NO VÁLIDO (CVE-2013-1440)
Fecha de publicación:
26/06/2025
Idioma:
Español
Razón rechazado: esta identificación de CVE ha sido rechazada o retirada por su autoridad de numeración de CVE.
Gravedad: Pendiente de análisis
Última modificación:
26/06/2025

Vulnerabilidad en fusionforge (CVE-2014-0468)
Fecha de publicación:
26/06/2025
Idioma:
Español
Vulnerabilidad en fusionforge en la configuración de Apache de fábrica, donde el servidor web podría ejecutar scripts que los usuarios habrían subido a sus repositorios SCM sin procesar (SVN, Git, Bzr, etc.). Este problema afecta a fusionforge: versiones anteriores a 5.3+20140506.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/08/2025

Vulnerabilidad en git-annex (CVE-2014-6274)
Fecha de publicación:
26/06/2025
Idioma:
Español
git-annex tenía un error en los servidores remotos S3 y Glacier: si se configuraba embedcreds=yes y el servidor remoto usaba encrypted=pubkey o encrypted=hybrid, las credenciales de AWS integradas se almacenaban en el repositorio git en texto plano (en la práctica), no cifradas como debían. Este problema afecta a git-annex desde la versión 3.20121126 hasta la versión 5.20140919.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
06/08/2025

Vulnerabilidad en Debian (CVE-2014-7210)
Fecha de publicación:
26/06/2025
Idioma:
Español
El paquete específico de pdns, tal como se incluye en Debian en versiones anteriores a la 3.3.1-1, crea un usuario MySQL con demasiados privilegios. Se descubrió que los scripts de mantenimiento de pdns-backend-mysql otorgan permisos de base de datos demasiado amplios al usuario pdns. Los demás backends no se ven afectados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/08/2025

Vulnerabilidad en OpenNMS Horizon y Meridian (CVE-2025-53122)
Fecha de publicación:
26/06/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL (&amp;#39;Inyección SQL&amp;#39;) en las aplicaciones OpenNMS Horizon y Meridian permite la inyección SQL. Los usuarios deben actualizar a Meridian 2024.2.6 o posterior, o a Horizon 33.16 o posterior. Las instrucciones de instalación de Meridian y Horizon indican que están diseñadas para instalarse en las redes privadas de una organización y no deben ser accesibles directamente desde Internet.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/06/2025

Vulnerabilidad en Canon EOS Webcam Utility Pro (CVE-2025-5995)
Fecha de publicación:
26/06/2025
Idioma:
Español
Canon EOS Webcam Utility Pro para MAC OS versión 2.3d (2.3.29) y anteriores contiene una vulnerabilidad de permisos de directorio incorrectos. Para explotar esta vulnerabilidad, un usuario malintencionado debe tener acceso de administrador. Un atacante podría modificar el directorio, lo que podría provocar la ejecución de código y, en última instancia, la escalada de privilegios.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/06/2025

Vulnerabilidad en n8n (CVE-2025-49592)
Fecha de publicación:
26/06/2025
Idioma:
Español
n8n es una plataforma de automatización de flujos de trabajo. Las versiones anteriores a la 1.98.0 presentan una vulnerabilidad de redirección abierta en el flujo de inicio de sesión. Tras iniciar sesión, los usuarios autenticados pueden ser redirigidos a dominios no confiables, controlados por atacantes, mediante la manipulación de URL maliciosas con un parámetro de consulta de redirección engañoso. Esto puede provocar ataques de phishing al suplantar la interfaz de usuario de n8n en dominios similares (p. ej., n8n.local.evil.com), robo de credenciales o de 2FA si se engaña a los usuarios para que vuelvan a introducir información confidencial, o riesgo para la reputación debido a la similitud visual entre los dominios controlados por atacantes y los de confianza. La vulnerabilidad afecta a cualquiera que aloje n8n y exponga el endpoint `/signin` a los usuarios. El problema se ha corregido en la versión 1.98.0. Todos los usuarios deben actualizar a esta versión o una posterior. La corrección introduce una validación de origen estricta para las URL de redirección, lo que garantiza que solo se permitan rutas del mismo origen o relativas tras el inicio de sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2025

Vulnerabilidad en matplotlib (CVE-2013-1424)
Fecha de publicación:
26/06/2025
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer en matplotlib. Este problema afecta a matplotlib: antes del commit ascendente ba4016014cb4fb4927e36ce8ea429fed47dcb787.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/08/2025

Vulnerabilidad en OpenMNS Horizon (CVE-2025-53121)
Fecha de publicación:
26/06/2025
Idioma:
Español
Se encontraron múltiples XSS almacenado en diferentes nodos con parámetros no saneados en OpenMNS Horizon 33.0.8 y versiones anteriores a la 33.1.6 en varias plataformas, lo que permite a un atacante almacenarlos en una base de datos e inyectar HTML o Javascript en la página. La solución es actualizar a Horizon 33.1.6, 33.1.7 o Meridian 2024.2.6, 2024.2.7 o posterior. Las instrucciones de instalación de Meridian y Horizon indican que están diseñados para instalarse en las redes privadas de una organización y no deben ser accesibles directamente desde Internet. OpenNMS agradece a Fábio Tomé por informar sobre este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/06/2025
Suscribirse a Vulnerabilidades