Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en RSTheme Ultimate Coming Soon & Maintenance (CVE-2025-24546)
Fecha de publicación:
24/01/2025
Idioma:
Español
La vulnerabilidad Cross-Site Request Forgery (CSRF) en RSTheme Ultimate Coming Soon & Maintenance permite Cross Site Request Forgery. Este problema afecta a Ultimate Coming Soon & Maintenance: desde n/d hasta 1.0.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2026

Vulnerabilidad en IBM (CVE-2024-35122)
Fecha de publicación:
24/01/2025
Idioma:
Español
IBM i 7.2, 7.3, 7.4 y 7.5 es vulnerable a una denegación de servicio local a nivel de archivo causada por un requisito de autoridad insuficiente. Un usuario local sin privilegios puede configurar una restricción referencial con los privilegios de un usuario diseñado socialmente para acceder al archivo de destino.
Gravedad CVSS v3.1: BAJA
Última modificación:
29/09/2025

Vulnerabilidad en One Identity Identity Manager (CVE-2024-56404)
Fecha de publicación:
24/01/2025
Idioma:
Español
En One Identity Identity Manager 9.x anterior a 9.3, una vulnerabilidad de referencia directa a objetos (IDOR) insegura permite la escalada de privilegios. Solo se ven afectadas las instalaciones locales.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/01/2025

Vulnerabilidad en LibVNCServer (CVE-2019-15690)
Fecha de publicación:
24/01/2025
Idioma:
Español
La versión 0.9.12 y anteriores de LibVNCServer contienen una vulnerabilidad de desbordamiento del búfer de montón dentro de la función HandleCursorShape() en libvncclient/cursor.c. Un atacante envía formas de cursor con dimensiones manipulado especiales, lo que puede provocar la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2025

Vulnerabilidad en Updatecli (CVE-2025-24355)
Fecha de publicación:
24/01/2025
Idioma:
Español
Updatecli es una herramienta que se utiliza para aplicar estrategias de actualización de archivos. Antes de la versión 0.93.0, las credenciales del repositorio maven privado podían filtrarse en los registros de la aplicación en caso de una operación de recuperación fallida. Durante la ejecución de una canalización de updatecli que contiene una fuente `maven` configurada con credenciales de autenticación básicas, las credenciales se filtran en los registros de ejecución de la aplicación en caso de falla. Las credenciales se desinfectan correctamente cuando la operación es exitosa, pero no cuando, por cualquier motivo, hay una falla en el repositorio maven, por ejemplo, coordenadas incorrectas proporcionadas, artefacto o versión no existentes. La versión 0.93.0 contiene un parche para el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2025

Vulnerabilidad en ASTEVAL (CVE-2025-24359)
Fecha de publicación:
24/01/2025
Idioma:
Español
ASTEVAL es un evaluador de expresiones y declaraciones de Python. Antes de la versión 1.0.6, si un atacante podía controlar la entrada de `asteval` librería, podía eludir las restricciones de asteval y ejecutar código Python arbitrario en el contexto de la aplicación utilizando tlibreríaary. La vulnerabilidad tiene su raíz en la forma en que `asteval` realiza el manejo de los nodos AST `FormattedValue`. En particular, el valor `on_formattedvalue` utiliza el método de formato peligroso de la clase str. El código permite a un atacante manipular el valor de la cadena utilizada en la llamada peligrosa `fmt.format(__fstring__=val)`. Esta vulnerabilidad se puede explotar para acceder a atributos protegidos activando intencionalmente una excepción `AttributeError`. El atacante puede entonces capturar la excepción y utilizar su atributo `obj` para obtener acceso arbitrario a propiedades de objetos confidenciales o protegidas. La versión 1.0.6 corrige este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2025

Vulnerabilidad en Coolify (CVE-2025-22609)
Fecha de publicación:
24/01/2025
Idioma:
Español
Coolify es una herramienta de código abierto y autoalojable para administrar servidores, aplicaciones y bases de datos. Antes de la versión 4.0.0-beta.361, la falta de autorización permitía a cualquier usuario autenticado adjuntar cualquier clave privada existente en una instancia de Coolify a su propio servidor. Si la configuración del servidor de IP/dominio, puerto (probablemente 22) y usuario (superusuario) coincide con la configuración del servidor de la víctima, entonces el atacante puede usar la función `Terminal` y ejecutar comandos arbitrarios en el servidor de la víctima. La versión 4.0.0-beta.361 soluciona el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/09/2025

Vulnerabilidad en Coolify (CVE-2025-22610)
Fecha de publicación:
24/01/2025
Idioma:
Español
Coolify es una herramienta de código abierto y autoalojable para administrar servidores, aplicaciones y bases de datos. Antes de la versión 4.0.0-beta.361, la falta de autorización permitía a cualquier usuario autenticado obtener la configuración global de OAuth de la instancia de Coolify. Esto expone el "ID de cliente" y el "secreto de cliente" de cada proveedor de OAuth personalizado. El atacante también puede modificar la configuración global de OAuth. La versión 4.0.0-beta.361 soluciona el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/09/2025

Vulnerabilidad en Coolify (CVE-2025-22611)
Fecha de publicación:
24/01/2025
Idioma:
Español
Coolify es una herramienta de código abierto y autoalojable para administrar servidores, aplicaciones y bases de datos. Antes de la versión 4.0.0-beta.361, la falta de autorización permite que cualquier usuario autenticado escale sus privilegios o los de cualquier otro miembro del equipo a cualquier rol, incluida el rol de propietario. También puede expulsar a todos los demás miembros del equipo, incluida administradores y propietarios. Esto permite al atacante acceder a la función `Terminal` y ejecutar comandos remotos. La versión 4.0.0-beta.361 soluciona el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/09/2025

Vulnerabilidad en Coolify (CVE-2025-22612)
Fecha de publicación:
24/01/2025
Idioma:
Español
Coolify es una herramienta de código abierto y autoalojable para administrar servidores, aplicaciones y bases de datos. Antes de la versión 4.0.0-beta.374, la falta de autorización permitía a un usuario autenticado recuperar cualquier clave privada existente en una instancia de Coolify en texto plano. Si la configuración del servidor de IP/dominio, puerto (probablemente 22) y usuario (superusuario) coincide con la configuración del servidor de la víctima, entonces el atacante puede ejecutar comandos arbitrarios en el servidor remoto. La versión 4.0.0-beta.374 soluciona el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/09/2025

Vulnerabilidad en Deepin dde-api-proxy (CVE-2025-23222)
Fecha de publicación:
24/01/2025
Idioma:
Español
Se descubrió un problema en Deepin dde-api-proxy hasta la versión 1.0.19 en el que los usuarios sin privilegios pueden acceder a los servicios de D-Bus como root. Específicamente, dde-api-proxy se ejecuta como superusuario y reenvía mensajes de usuarios locales arbitrarios a métodos D-Bus heredados en los servicios D-Bus reales, y los servicios D-Bus reales no conocen la situación del proxy (creen que superusuario les está pidiendo que hagan cosas). En consecuencia, varios métodos proxy, que no deberían ser accesibles para usuarios que no sean root, son accesibles para usuarios que no son superusuarios. En situaciones en las que Polkit está involucrado, el llamador sería tratado como administrador, lo que resultaría en una escalada similar de privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2025

Vulnerabilidad en Coolify (CVE-2025-24025)
Fecha de publicación:
24/01/2025
Idioma:
Español
Coolify es una herramienta de código abierto y autoalojable para administrar servidores, aplicaciones y bases de datos. Antes de la versión 4.0.0-beta.380, la página de etiquetas permite a los usuarios buscar etiquetas. Si la búsqueda no devuelve ningún resultado, la consulta se refleja en el modal de error, lo que genera cross-site scripting. La versión 4.0.0-beta.380 soluciona el problema.
Gravedad CVSS v4.0: BAJA
Última modificación:
19/09/2025
Suscribirse a Vulnerabilidades