Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Netgear WNR854T 1.5.2 (CVE-2024-54804)
Fecha de publicación:
31/03/2025
Idioma:
Español
Netgear WNR854T 1.5.2 (Norteamérica) es vulnerable a la inyección de comandos. Un atacante puede enviar una solicitud especialmente manipulada a post.cgi, actualizando el parámetro wan_hostname de la NVRAM y forzando un reinicio. Esto provocará la inyección de comandos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/04/2025

Vulnerabilidad en Netgear WNR854T 1.5.2 (CVE-2024-54805)
Fecha de publicación:
31/03/2025
Idioma:
Español
Netgear WNR854T 1.5.2 (Norteamérica) es vulnerable a la inyección de comandos. Un atacante puede enviar una solicitud especialmente manipulada a post.cgi, actualizando el parámetro de NVRAM get_email. Posteriormente, puede visitar el endpoint send_log.cgi, que utiliza el parámetro en una llamada al sistema para ejecutar el comando.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/04/2025

Vulnerabilidad en Netgear WNR854T 1.5.2 (CVE-2024-54806)
Fecha de publicación:
31/03/2025
Idioma:
Español
Netgear WNR854T 1.5.2 (Norteamérica) es vulnerable a la ejecución de comandos arbitrarios en cmd.cgi, lo que permite la ejecución de comandos del sistema a través de la interfaz web.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/04/2025

Vulnerabilidad en Hewlett Packard Enterprise (HPE) (CVE-2024-24456)
Fecha de publicación:
31/03/2025
Idioma:
Español
Un paquete de comando de liberación E-RAB que contiene una PDU NAS mal formada provocará que Athonet MME se bloquee inmediatamente, posiblemente debido a un desbordamiento del búfer.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Khronos Group glslang 15.1.0 (CVE-2025-3010)
Fecha de publicación:
31/03/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como problemática en Khronos Group glslang 15.1.0. Este problema afecta a la función glslang::TIntermediate::isConversionAllowed del archivo glslang/MachineIndependent/Intermediate.cpp. Esta manipulación provoca la desreferenciación de punteros nulos. El ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Zitadel (CVE-2025-31123)
Fecha de publicación:
31/03/2025
Idioma:
Español
Zitadel es un software de infraestructura de identidad de código abierto. Existía una vulnerabilidad que permitía usar claves caducadas para recuperar tokens. En concreto, ZITADEL no verificaba correctamente la fecha de caducidad de la clave JWT al usarla para concesiones de autorización. Esto permitía a un atacante con una clave caducada obtener tokens de acceso válidos. Esta vulnerabilidad no afecta el uso del perfil JWT para la autenticación de cliente OAuth 2.0 en los endpoints de token e introspección, que rechazan correctamente las claves caducadas. Esta vulnerabilidad se ha corregido en las versiones 2.71.6, 2.70.8, 2.69.9, 2.68.9, 2.67.13, 2.66.16, 2.65.7, 2.64.6 y 2.63.9.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2025

Vulnerabilidad en Zitadel (CVE-2025-31124)
Fecha de publicación:
31/03/2025
Idioma:
Español
Zitadel es un software de infraestructura de identidad de código abierto. Los administradores de ZITADEL pueden habilitar la configuración "Ignorar nombres de usuario desconocidos", que ayuda a mitigar los ataques que intentan adivinar o enumerar nombres de usuario. Si se habilita, ZITADEL mostrará la solicitud de contraseña incluso si el usuario no existe e informará "Nombre de usuario o contraseña no válidos". Si bien la configuración se respetó correctamente durante el inicio de sesión, el nombre de usuario se normalizó, lo que reveló su existencia. Esta vulnerabilidad está corregida en las versiones 2.71.6, 2.70.8, 2.69.9, 2.68.9, 2.67.13, 2.66.16, 2.65.7, 2.64.6 y 2.63.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/08/2025

Vulnerabilidad en Jinher Network OA C6 (CVE-2025-3009)
Fecha de publicación:
31/03/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como crítica en Jinher Network OA C6. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /C6/JHSoft.Web.NetDisk/NetDiskProperty.aspx. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en kernel de Linux (CVE-2025-21893)
Fecha de publicación:
31/03/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: keys: Fix UAF en key_put() Una vez que el recuento de referencia de una clave se ha reducido a 0, el hilo del recolector de basura puede destruirla en cualquier momento y, por lo tanto, key_put() no puede tocar la clave después de ese punto. Lo máximo que key_put() normalmente puede hacer es tocar key_gc_work ya que es una variable global estática. Sin embargo, en un esfuerzo por acelerar la recuperación de la cuota, esto ahora se hace en key_put() una vez que el uso de la clave se reduce a 0, pero ahora el código mira la clave después de la fecha límite, lo cual está prohibido. Corrija esto usando una bandera para indicar que una clave puede ser gc'd ahora en lugar de mirar el recuento de referencia de la clave en el recolector de basura.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2025

Vulnerabilidad en Novastar CX40 (CVE-2025-3008)
Fecha de publicación:
31/03/2025
Idioma:
Español
Se ha detectado una vulnerabilidad crítica en Novastar CX40 (hasta la versión 2.44.0). La función system/popen del archivo /usr/nova/bin/netconfig del componente NetFilter Utility se ve afectada. La manipulación provoca la inyección de comandos. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta vulnerabilidad, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Jooby (CVE-2025-31129)
Fecha de publicación:
31/03/2025
Idioma:
Español
Jooby es un framework web para Java y Kotlin. El módulo io.jooby.internal.pac4j.SessionStoreImpl#get de pac4j deserializa datos no confiables. Esta vulnerabilidad se corrigió en las versiones 2.17.0 (2.x) y 3.7.0 (3.x).
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Novastar CX40 (CVE-2025-3007)
Fecha de publicación:
31/03/2025
Idioma:
Español
Se encontró una vulnerabilidad en Novastar CX40 hasta la versión 2.44.0. Se ha clasificado como crítica. Este problema afecta a la función getopt del archivo /usr/nova/bin/netconfig del componente NetFilter Utility. La manipulación del argumento cmd/netmask/pipeout/nettask provoca un desbordamiento del búfer basado en la pila. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades