Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Concrete CMS (CVE-2025-3153)
Fecha de publicación:
03/04/2025
Idioma:
Español
Las versiones 9 y anteriores a la 9.4.0RC2 de Concrete CMS y las versiones anteriores a la 8.5.20 son vulnerables a CSRF y XSS en el atributo de dirección de Concrete CMS, ya que las direcciones no se depuran correctamente en la salida cuando no se especifica un país. Los atacantes se limitan a las personas a las que el administrador del sitio les ha otorgado la capacidad de completar un atributo de dirección. El atacante puede obtener información limitada del sitio, pero la cantidad y el tipo están restringidos por los controles de mitigación y el nivel de acceso del atacante. La modificación de datos es limitada. La página del panel de control podría quedar indisponible. Esta corrección solo depura los nuevos datos subidos después de la actualización a Concrete CMS 9.4.0RC2. Las entradas de la base de datos existentes agregadas antes de la actualización seguirán activas si se agregaron exploits exitosos en versiones anteriores; se recomienda una búsqueda en la base de datos. El equipo de seguridad de Concrete CMS le otorgó a esta vulnerabilidad un puntaje CVSS v.4.0 de 5,1 con el vector CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L Gracias Myq Larson por informar.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/09/2025

Vulnerabilidad en XPDF 4.05 (CVE-2025-3154)
Fecha de publicación:
02/04/2025
Idioma:
Español
Escritura de matriz fuera de los límites en XPDF 4.05 y anterior, desencadenada por un valor no válido de VerticesPerrow en un diccionario de sombreado PDF.
Gravedad CVSS v4.0: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en WonderCMS 3.5.0 (CVE-2025-3123)
Fecha de publicación:
02/04/2025
Idioma:
Español
Una vulnerabilidad, que se clasificó como crítica, se ha encontrado en WonderCMS 3.5.0. Afectado por este problema, se encuentra la función InstallUpDateModuleaction de la instalación de instalación/complemento del tema del componente. La manipulación conduce a una carga sin restricciones. El ataque puede ser lanzado de forma remota. Se ha hecho público el exploit y puede que sea utilizado. La verdadera existencia de esta vulnerabilidad todavía se duda en este momento. El proveedor explica que "[la] filosofía siempre ha sido, administrador [...] responsable de no instalar temas/complementos de fuentes no confiables".
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/05/2025

Vulnerabilidad en SourceCodester Apartment Visitors Management System 1.0 (CVE-2025-3120)
Fecha de publicación:
02/04/2025
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Apartment Visitors Management System 1.0. Ha sido calificada como crítica. Este problema afecta a algún procesamiento desconocido del archivo /add-apartment.php. La manipulación del argumento de apartamento conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también pueden verse afectados.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en PyTorch 2.6.0 (CVE-2025-3121)
Fecha de publicación:
02/04/2025
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como problemática en Pytorch 2.6.0. Afectado es la función torch.jit.jit_module_from_flatbuffer. La manipulación conduce a la corrupción de la memoria. Se requiere acceso local para abordar este ataque. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/05/2025

Vulnerabilidad en WebAssembly WABT 1.0.36 (CVE-2025-3122)
Fecha de publicación:
02/04/2025
Idioma:
Español
Una vulnerabilidad clasificada como problemática se encontró en WebAssembly WABT 1.0.36. Afectado por esta vulnerabilidad está la función BinaryReaderInterp::BeginFunctionBody del archivo src/interp/binary-lecter-interp.cc. La manipulación conduce a la deserción del puntero nulo. El ataque se puede lanzar de forma remota. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: BAJA
Última modificación:
23/09/2025

Vulnerabilidad en Drupal Access code (CVE-2025-3129)
Fecha de publicación:
02/04/2025
Idioma:
Español
La restricción inadecuada de los intentos de autenticación excesivos vulnerabilidad en Drupal Access code permite la fuerza bruta. Este problema afecta el código de acceso: desde 0.0.0 antes de 2.0.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/09/2025

Vulnerabilidad en Drupal Obfuscate (CVE-2025-3130)
Fecha de publicación:
02/04/2025
Idioma:
Español
La neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en Drupal Obfuscate permite XS almacenado. Este problema afecta el ofusco: desde 0.0.0 antes de 2.0.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/04/2025

Vulnerabilidad en Tauri Shell (CVE-2025-31477)
Fecha de publicación:
02/04/2025
Idioma:
Español
El complemento Tauri Shell permite acceder al shell del sistema. Antes de la versión 2.2.1, este complemento exponía la funcionalidad para ejecutar código y abrir programas en el sistema. El endpoint abierto de este complemento estaba diseñado para permitir la apertura de funciones con el programa de apertura del sistema (p. ej., xdg-open en Linux). Esto estaba previsto que estuviera restringido a un número razonable de protocolos, como https o mailto, por defecto. Esta restricción predeterminada no funcionaba debido a una validación incorrecta de los protocolos permitidos, lo que permitía que el controlador de protocolos registrado del sistema abriera protocolos potencialmente peligrosos como file://, smb:// o nfs://, entre otros. Al pasar información de usuario no confiable al endpoint abierto, estos protocolos potencialmente peligrosos pueden ser objeto de abuso para obtener ejecución remota de código en el sistema. Esto requiere la exposición directa del endpoint a los usuarios de la aplicación o la ejecución de código en el frontend de una aplicación Tauri. Esta vulnerabilidad se corrigió en la versión 2.2.1.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
29/04/2025

Vulnerabilidad en SourceCodester Online Tutor Portal 1.0 (CVE-2025-3119)
Fecha de publicación:
02/04/2025
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Online Tutor Portal 1.0. Se ha declarado como crítico. Esta vulnerabilidad afecta el código desconocido del archivo /tutor/courses/manage_course.php. La manipulación de la identificación del argumento conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en GitHub (CVE-2025-31479)
Fecha de publicación:
02/04/2025
Idioma:
Español
Canonical/Get-Workflow-Version-Action es una acción compuesta de GitHub para obtener commit SHA con el que se llamó el flujo de trabajo reutilizable de GitHub. Antes de 1.0.1, si el paso Get-Workflow-Version-Action falla, la salida de excepción puede incluir el GitHub_Token. Si el token completo se incluye en la salida de excepción, GitHub redactará automáticamente el secreto de los registros de acciones de GitHub. Sin embargo, el token puede ser truncado, lo que se pone en la parte del GitHub_Token que se mostrará en texto plano en los registros de acciones de GitHub. Cualquier persona con acceso de lectura al repositorio de GitHub puede ver registros de acciones de GitHub. Para los repositorios públicos, cualquiera puede ver los registros de acciones de GitHub. La oportunidad de explotar esta vulnerabilidad es limitada: el GitHub_Token se revoca automáticamente cuando se completa el trabajo. Sin embargo, hay una oportunidad para un ataque en el tiempo entre el GitHub_Token que se muestra en los registros y la finalización del trabajo. Los usuarios que usan la entrada GitHub-Token se ven afectados. Esta vulnerabilidad se fija en 1.0.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en conda-forge (CVE-2025-31484)
Fecha de publicación:
02/04/2025
Idioma:
Español
La infraestructura de conda-forge contiene configuraciones y ajustes comunes para componentes clave de la misma. Entre el 10/02/2025 y el 01/04/2025, la infraestructura de conda-forge utilizó el token incorrecto para el acceso a cf-staging de Azure. Este error impedía que cualquier responsable de feedstock cargara un paquete en el canal de conda-forge, omitiendo nuestro proceso de carga de feedstock-token. Se revisaron los registros de seguridad de anaconda.org para detectar paquetes que no se hubieran copiado de cf-staging al canal de conda-forge, pero no se encontró ninguno.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades