Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Emlog (CVE-2025-53926)
Fecha de publicación:
16/07/2025
Idioma:
Español
Emlog es un sistema de código abierto para la creación de sitios web. Una vulnerabilidad de cross-site scripting (XSS) en emlog, hasta la versión pro-2.5.17 incluida, permite a atacantes remotos inyectar código web o HTML arbitrario mediante los parámetros comment y comname. El XSS reflejado requiere que la víctima envíe solicitudes POST, por lo que debe ser persuadida para que haga clic en la URL enviada. Al momento de la publicación, no se conocían versiones parcheadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/08/2025

Vulnerabilidad en Adobe Experience Manager (CVE-2025-46959)
Fecha de publicación:
16/07/2025
Idioma:
Español
Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross-site scripting (XSS) basada en DOM. Un atacante con pocos privilegios podría explotar este problema manipulando el entorno DOM para ejecutar JavaScript malicioso en el contexto del navegador de la víctima. Para explotar este problema, es necesario que la víctima visite una página web especialmente manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/07/2025

Vulnerabilidad en Adobe Experience Manager (CVE-2025-47053)
Fecha de publicación:
16/07/2025
Idioma:
Español
Las versiones 6.5.22 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross-site scripting (XSS) basada en DOM. Un atacante con pocos privilegios podría explotar este problema manipulando el entorno DOM para ejecutar JavaScript malicioso en el contexto del navegador de la víctima. Para explotar este problema, es necesario que la víctima visite una página web especialmente manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/07/2025

Vulnerabilidad en EDNS Client Subnet (CVE-2025-5994)
Fecha de publicación:
16/07/2025
Idioma:
Español
Se ha descubierto una vulnerabilidad de envenenamiento de caché multiproveedor, denominada "Ataque Rebirthday", en resolutores de caché compatibles con EDNS Client Subnet (ECS). Unbound también es vulnerable cuando se compila con compatibilidad con ECS (es decir, con "--enable-subnet") y se configura para enviar información de ECS junto con consultas a servidores de nombres ascendentes (es decir, se utiliza al menos una de las opciones "send-client-subnet", "client-subnet-zone" o "client-subnet-always-forward"). Los resolutores compatibles con ECS deben segregar las consultas salientes para adaptarlas a la diferente información de ECS saliente. Esto expone a los resolutores a un ataque de paradoja de cumpleaños (Ataque Rebirthday), que intenta coincidir con el ID de transacción DNS para almacenar en caché respuestas tóxicas que no sean de ECS.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/07/2025

Vulnerabilidad en Emlog (CVE-2025-53925)
Fecha de publicación:
16/07/2025
Idioma:
Español
Emlog es un sistema de creación de sitios web de código abierto. Una vulnerabilidad de cross-site scripting (XSS) en emlog, hasta la versión pro-2.5.17 incluida, permite a atacantes remotos autenticados inyectar código web o HTML arbitrario mediante la función de carga de archivos. Como usuario autenticado, es posible cargar un archivo .svg que contiene código JavaScript y que posteriormente se ejecuta. Al momento de la publicación, no se conocían versiones parcheadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/08/2025

Vulnerabilidad en HPE Telco Service Orchestrator (CVE-2025-37104)
Fecha de publicación:
16/07/2025
Idioma:
Español
Se ha identificado una vulnerabilidad de seguridad en el software HPE Telco Service Orchestrator. Esta vulnerabilidad podría permitir que clientes autenticados realicen un ataque de inyección SQL al enviar una solicitud de servicio y, potencialmente, exfiltren el nombre del proveedor de la base de datos a clientes autenticados no autorizados.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/07/2025

Vulnerabilidad en Kaseya Rapid Fire Tools Network Detective 2.0.16.0 (CVE-2025-32353)
Fecha de publicación:
16/07/2025
Idioma:
Español
Kaseya Rapid Fire Tools Network Detective 2.0.16.0 tiene credenciales sin cifrar (para acceso privilegiado) almacenadas en el archivo de configuración collecter.txt.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/07/2025

Vulnerabilidad en Kaseya Rapid Fire Tools Network Detective (CVE-2025-32874)
Fecha de publicación:
16/07/2025
Idioma:
Español
Se descubrió un problema en Kaseya Rapid Fire Tools Network Detective hasta la versión 2.0.16.0. Existe una vulnerabilidad en la clase EncryptionUtil debido a que el cifrado simétrico se implementa de forma determinista y no aleatoria. El método Encrypt(byte[] clearData) deriva tanto la clave de cifrado como el IV de una entrada fija y codificada mediante un valor de sal estático. Como resultado, las entradas de texto plano idénticas siempre producen salidas de texto cifrado idénticas. Esto aplica tanto para contraseñas generadas con FIPS como sin FIPS. En otras palabras, existe una falla de implementación criptográfica en el mecanismo de cifrado de contraseñas. Si bien existen múltiples métodos de cifrado agrupados bajo las clasificaciones FIPS y sin FIPS, la lógica resulta consistentemente en salidas cifradas predecibles y reversibles debido a la falta de aleatoriedad por operación y autenticación de cifrado.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/07/2025

Vulnerabilidad en META-INF Kft. Email This Issue (CVE-2024-42912)
Fecha de publicación:
16/07/2025
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) en META-INF Kft. Email This Issue (Data Center) anterior a la versión 9.13.0-GA permite a los atacantes ejecutar scripts web o HTML arbitrarios mediante la inyección de un payload manipulado en el campo de destinatario de un mensaje de correo electrónico.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2025

Vulnerabilidad en Icinga DB Web (CVE-2025-53840)
Fecha de publicación:
16/07/2025
Idioma:
Español
Icinga DB Web proporciona una interfaz gráfica para la monitorización de Icinga. A partir de la versión 1.2.0 y anteriores a la 1.2.2, los usuarios con acceso a las Vistas de Dependencias de Icinga pueden ver hosts y servicios que no deberían en el mapa de dependencias. Sin embargo, no se revelará el nombre de un objeto ni se accederá a la vista detallada de un host o servicio. Tenga en cuenta que esto solo afecta a las restricciones `filter/hosts` y `filter/services`. `filter/objects` no se ve afectado y restringe los objetos como debería. La versión 1.2.2 aplica estas restricciones correctamente. Como solución alternativa, se puede actualizar a la versión 1.1.3.
Gravedad CVSS v3.1: BAJA
Última modificación:
16/07/2025

Vulnerabilidad en Emlog (CVE-2025-53924)
Fecha de publicación:
16/07/2025
Idioma:
Español
Emlog es un sistema de código abierto para la creación de sitios web. Una vulnerabilidad de cross-site scripting (XSS) en emlog, hasta la versión pro-2.5.17 incluida, permite a atacantes remotos autenticados inyectar código web o HTML arbitrario mediante el parámetro siteurl. Es posible inyectar código malicioso en el parámetro siteurl, lo que resulta en XSS almacenado. Al hacer clic en el enlace, se ejecuta el código malicioso. Al momento de la publicación, no se conocen versiones parcheadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/07/2025

Vulnerabilidad en Vue I18n (CVE-2025-53892)
Fecha de publicación:
16/07/2025
Idioma:
Español
Vue I18n es el complemento de internacionalización para Vue.js. La opción "escapeParameterHtml: true" de Vue I18n está diseñada para proteger contra la inyección de HTML/scripts mediante el escape de parámetros interpolados. Sin embargo, a partir de la versión 9.0.0 y anteriores a las versiones 9.14.5, 10.0.8 y 11.1.0, esta configuración no impide la ejecución de ciertos payloads basadas en etiquetas, como , si el valor interpolado se inserta dentro de un contexto HTML mediante v-html. Esto puede provocar una vulnerabilidad XSS basada en DOM, incluso al usar "escapeParameterHtml: true", si una cadena de traducción incluye HTML menor y se renderiza mediante v-html. Las versiones 9.14.5, 10.0.8 y 11.1.0 incluyen una solución para este problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/07/2025
Suscribirse a Vulnerabilidades