Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco IOS Software y Cisco IOS XE Software (CVE-2025-20170)
Fecha de publicación:
05/02/2025
Idioma:
Español
Una vulnerabilidad en el subsistema SNMP de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante remoto autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a una gestión inadecuada de errores al analizar las solicitudes SNMP. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el dispositivo se recargue inesperadamente, lo que da como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a las versiones 1, 2c y 3 de SNMP. Para aprovechar esta vulnerabilidad a través de SNMP v2c o anterior, el atacante debe conocer una cadena de comunidad SNMP válida de lectura y escritura o de solo lectura para el sistema afectado. Para aprovechar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2025

Vulnerabilidad en Cisco IOS Software y Cisco IOS XE Software (CVE-2025-20171)
Fecha de publicación:
05/02/2025
Idioma:
Español
Una vulnerabilidad en el subsistema SNMP de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante remoto autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a una gestión inadecuada de errores al analizar las solicitudes SNMP. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el dispositivo se recargue inesperadamente, lo que da como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a las versiones 1, 2c y 3 de SNMP. Para aprovechar esta vulnerabilidad a través de SNMP v2c o anterior, el atacante debe conocer una cadena de comunidad SNMP válida de lectura y escritura o de solo lectura para el sistema afectado. Para aprovechar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2025

Vulnerabilidad en Cisco IOS Software y Cisco IOS XE Software (CVE-2025-20169)
Fecha de publicación:
05/02/2025
Idioma:
Español
Una vulnerabilidad en el subsistema SNMP de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante remoto autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a una gestión inadecuada de errores al analizar las solicitudes SNMP. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el dispositivo se recargue inesperadamente, lo que da como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a las versiones 1, 2c y 3 de SNMP. Para aprovechar esta vulnerabilidad a través de SNMP v2c o anterior, el atacante debe conocer una cadena de comunidad SNMP válida de lectura y escritura o de solo lectura para el sistema afectado. Para aprovechar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/10/2025

Vulnerabilidad en Cisco ISE (CVE-2025-20124)
Fecha de publicación:
05/02/2025
Idioma:
Español
Una vulnerabilidad en una API de Cisco ISE podría permitir que un atacante remoto autenticado ejecute comandos arbitrarios como usuario superusuario en un dispositivo afectado. Esta vulnerabilidad se debe a la deserialización insegura de secuencias de bytes de Java proporcionadas por el usuario por parte del software afectado. Un atacante podría aprovechar esta vulnerabilidad enviando un objeto Java serializado manipulado a una API afectada. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo y elevar privilegios. Nota: Para aprovechar esta vulnerabilidad con éxito, el atacante debe tener credenciales administrativas válidas de solo lectura. En una implementación de un solo nodo, los dispositivos nuevos no podrán autenticarse durante el tiempo de recarga.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/03/2025

Vulnerabilidad en Cisco ISE (CVE-2025-20125)
Fecha de publicación:
05/02/2025
Idioma:
Español
Una vulnerabilidad en una API de Cisco ISE podría permitir que un atacante remoto autenticado con credenciales válidas de solo lectura obtenga información confidencial, cambie las configuraciones de los nodos y reinicie el nodo. Esta vulnerabilidad se debe a la falta de autorización en una API específica y a una validación incorrecta de los datos proporcionados por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a una API específica en el dispositivo. Una explotación exitosa podría permitir al atacante obtener información, modificar la configuración del sistema y recargar el dispositivo. Nota: Para aprovechar esta vulnerabilidad con éxito, el atacante debe tener credenciales administrativas válidas de solo lectura. En una implementación de un solo nodo, los dispositivos nuevos no podrán autenticarse durante el tiempo de recarga.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/03/2025

Vulnerabilidad en HCL iAutomate (CVE-2024-42207)
Fecha de publicación:
05/02/2025
Idioma:
Español
HCL iAutomate se ve afectado por una vulnerabilidad de fijación de sesión. Un atacante podría secuestrar el ID de sesión de una víctima de su sesión autenticada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/10/2025

Vulnerabilidad en Juniper Networks Junos OS y Junos OS Evolved (CVE-2024-39564)
Fecha de publicación:
05/02/2025
Idioma:
Español
Esta es una vulnerabilidad similar, pero diferente al problema informado como CVE-2024-39549. Una vulnerabilidad de doble liberación en el demonio de proceso de enrutamiento (rpd) de Juniper Networks Junos OS y Junos OS Evolved permite a un atacante enviar una actualización de atributo de ruta BGP mal formada que asigna memoria utilizada para registrar el atributo de ruta incorrecta. Esta doble liberación de memoria está causando un bloqueo de rpd, lo que lleva a una denegación de servicio (DoS). Este problema afecta a: Junos OS: * desde 22.4 antes de 22.4R3-S4. Junos OS Evolved: * desde 22.4 antes de 22.4R3-S4-EVO.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/01/2026

Vulnerabilidad en Poly Edge E (CVE-2025-0858)
Fecha de publicación:
05/02/2025
Idioma:
Español
Se descubrió una vulnerabilidad en las compilaciones de firmware hasta la versión 8.2.1.0820 en los dispositivos Poly Edge E. La falla del firmware no previene adecuadamente Path Traversal y podría provocar la divulgación de información.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/03/2025

Vulnerabilidad en Dell Avamar (CVE-2025-21117)
Fecha de publicación:
05/02/2025
Idioma:
Español
Dell Avamar, versión 19.4 o posterior, contiene una vulnerabilidad de reutilización de token de acceso en la interfaz de usuario de autenticación. Un atacante local con pocos privilegios podría aprovechar esta vulnerabilidad y suplantar por completo la identidad del usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en ManageEngine Endpoint Central (CVE-2024-9097)
Fecha de publicación:
05/02/2025
Idioma:
Español
Las versiones ManageEngine Endpoint Central anteriores a la 11.3.2440.09 son afectados por la vulnerabilidad IDOR que permite al atacante cambiar el nombre de usuario en el chat.
Gravedad CVSS v3.1: BAJA
Última modificación:
22/10/2025

Vulnerabilidad en GitLab CE/EE (CVE-2024-2878)
Fecha de publicación:
05/02/2025
Idioma:
Español
Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 15.7 hasta la 16.9.7, desde la 16.10 hasta la 16.10.5 y desde la 16.11 hasta la 16.11.2. Un atacante podría provocar una denegación de servicio creando términos de búsqueda inusuales para los nombres de las ramas.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/08/2025

Vulnerabilidad en IBM Cloud Pak for Business Automation (CVE-2024-49348)
Fecha de publicación:
05/02/2025
Idioma:
Español
IBM Cloud Pak for Business Automation 18.0.0, 18.0.1, 18.0.2, 19.0.1, 19.0.2, 19.0.3, 20.0.1, 20.0.2, 20.0.3, 21.0.1, 21.0.2, 21.0.3, 22.0.1 y 22.0.2 permiten restringir el acceso a los datos de la organización a contextos válidos. El hecho de que las tareas de tipo comentario se puedan reasignar a través de la API otorga implícitamente acceso a las consultas de los usuarios en un contexto inesperado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2025
Suscribirse a Vulnerabilidades