Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en KWHotel 0.47 (CVE-2023-46400)
Fecha de publicación:
23/01/2025
Idioma:
Español
KWHotel 0.47 es vulnerable a la inyección de fórmulas CSV en la función de agregar invitado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/02/2025

Vulnerabilidad en KWHotel 0.47 (CVE-2023-46401)
Fecha de publicación:
23/01/2025
Idioma:
Español
KWHotel 0.47 es vulnerable a la inyección de fórmulas CSV en la función de adición de facturas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/02/2025

Vulnerabilidad en Fedora Repository 3.8.1 (CVE-2025-23011)
Fecha de publicación:
23/01/2025
Idioma:
Español
Fedora Repository 3.8.1 permite Path Traversal al extraer archivos cargados ("Zip Slip"). Un atacante remoto autenticado puede cargar un archivo manipulado especial que extraerá un archivo JSP arbitrario a una ubicación que se puede ejecutar mediante una solicitud GET no autenticada. El repositorio de Fedora 3.8.1 se lanzó el 11 de junio de 2015 y ya no se mantiene. Migre a una versión compatible actualmente (6.5.1 a partir del 23 de enero de 2025).
Gravedad CVSS v4.0: ALTA
Última modificación:
19/09/2025

Vulnerabilidad en Fedora Repository 3.8.x (CVE-2025-23012)
Fecha de publicación:
23/01/2025
Idioma:
Español
Fedora Repository 3.8.x incluye una cuenta de servicio (fedoraIntCallUser) con credenciales y privilegios predeterminados para leer archivos locales mediante la manipulación de flujos de datos. Fedora Repository 3.8.1 se lanzó el 11 de junio de 2015 y ya no se mantiene. Migre a una versión compatible actualmente (6.5.1 a partir del 23 de enero de 2025).
Gravedad CVSS v4.0: ALTA
Última modificación:
07/10/2025

Vulnerabilidad en IBM Tivoli Application Dependency Discovery Manager (CVE-2025-23227)
Fecha de publicación:
23/01/2025
Idioma:
Español
IBM Tivoli Application Dependency Discovery Manager 7.3.0.0 a 7.3.0.11 es vulnerable a Cross-Site Scripting Almacenado. Esta vulnerabilidad permite a los usuarios autenticados incorporar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales dentro de una sesión de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/08/2025

Vulnerabilidad en Directus (CVE-2025-24353)
Fecha de publicación:
23/01/2025
Idioma:
Español
Directus es una API en tiempo real y un panel de control de aplicaciones para administrar el contenido de bases de datos SQL. Antes de la versión 11.2.0, al compartir un elemento, un usuario típico podía especificar un rol arbitrario. Esto permite al usuario usar un rol con mayores privilegios para ver campos que, de lo contrario, no podría ver. Las instancias que se ven afectadas son aquellas que usan la función de compartir y tienen una jerarquía de roles específica y campos que no son visibles para ciertos roles. La versión 11.2.0 contiene un parche para solucionar el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/11/2025

Vulnerabilidad en RestrictedPython (CVE-2025-22153)
Fecha de publicación:
23/01/2025
Idioma:
Español
RestrictedPython es una herramienta que ayuda a definir un subconjunto del lenguaje Python que permite proporcionar una entrada de programa en un entorno de confianza. A través de un error de confusión de tipos en las versiones del intérprete CPython a partir de la 3.11 y anteriores a la 3.13.2 cuando se usa `try/except*`, se podía omitir RestrictedPython a partir de la versión 6.0 y anteriores a la versión 8.0. El problema se solucionó en la versión 8.0 de RestrictedPython al eliminar la compatibilidad con las cláusulas `try/except*`. No hay workarounds disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en @fastify/multipart de Fastify (CVE-2025-24033)
Fecha de publicación:
23/01/2025
Idioma:
Español
@fastify/multipart es un complemento de Fastify para analizar el tipo de contenido multipart. Antes de las versiones 8.3.1 y 9.0.3, la función `saveRequestFiles` no elimina los archivos temporales cargados cuando el usuario cancela la solicitud. El problema se solucionó en las versiones 8.3.1 y 9.0.3. Como workaround, no use `saveRequestFiles`.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Himmelblau (CVE-2025-24034)
Fecha de publicación:
23/01/2025
Idioma:
Español
Himmelblau es una suite de interoperabilidad para Microsoft Azure Entra ID e Intune. A partir de la versión 0.7.0 y antes de las versiones 0.7.15 y 0.8.3, Himmelblau es vulnerable a la filtración de credenciales en los registros de depuración. Cuando el registro de depuración está habilitado, los tokens de acceso de usuario se registran inadvertidamente, lo que potencialmente expone datos de autenticación confidenciales. De manera similar, los tickets de concesión de tickets (TGT) de Kerberos se registran cuando el registro de depuración está habilitado. Ambos problemas plantean un riesgo de exposición de credenciales confidenciales, especialmente en entornos donde el registro de depuración está habilitado. Las versiones 0.7.15 y 0.8.3 de Himmelblau contienen un parche que corrige ambos problemas. Algunos workarounds están disponibles para los usuarios que no pueden actualizar. Para el problema de cumplimiento de inicio de sesión script, deshabilite la opción `logon_script` en `/etc/himmelblau/himmelblau.conf` y evite usar el parámetro `-d` al iniciar `himmelblaud` daemon. Para el problema de Kerberos CCache, se puede deshabilitar el registro de depuración globalmente configurando la opción `debug` en `/etc/himmelblau/himmelblau.conf` en `false` y evitando el parámetro `-d` al iniciar `himmelblaud`.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en Xerox (CVE-2024-55929)
Fecha de publicación:
23/01/2025
Idioma:
Español
Falsificación de correo
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en Xerox (CVE-2024-55930)
Fecha de publicación:
23/01/2025
Idioma:
Español
Permisos de carpeta predeterminados débiles
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en Xerox (CVE-2024-55928)
Fecha de publicación:
23/01/2025
Idioma:
Español
Secretos texto plano devueltos y secretos sistema remotos en texto plano
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/02/2026
Suscribirse a Vulnerabilidades