Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-38093

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> arm64: dts: qcom: x1e80100: Add GPU cooling<br /> <br /> Unlike the CPU, the GPU does not throttle its speed automatically when it<br /> reaches high temperatures. With certain high GPU loads it is possible to<br /> reach the critical hardware shutdown temperature of 120°C, endangering the<br /> hardware and making it impossible to run certain applications.<br /> <br /> Set up GPU cooling similar to the ACPI tables, by throttling the GPU speed<br /> when reaching 95°C and polling every 200ms.
Gravedad: Pendiente de análisis
Última modificación:
02/07/2025

CVE-2025-53106

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** Graylog is a free and open log management platform. In versions 6.2.0 to before 6.2.4 and 6.3.0-alpha.1 to before 6.3.0-rc.2, Graylog users can gain elevated privileges by creating and using API tokens for the local Administrator or any other user for whom the malicious user knows the ID. For the attack to succeed, the attacker needs a user account in Graylog. They can then proceed to issue hand-crafted requests to the Graylog REST API and exploit a weak permission check for token creation. This issue has been patched in versions 6.2.4 and 6.3.0-rc.2. A workaround involves disabling the respective configuration found in System &gt; Configuration &gt; Users &gt; "Allow users to create personal access tokens".
Gravedad CVSS v4.0: ALTA
Última modificación:
02/07/2025

CVE-2025-45029

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** WINSTAR WN572HP3 v230525 was discovered to contain a heap overflow via the CONTENT_LENGTH variable at /cgi-bin/upload.cgi.
Gravedad: Pendiente de análisis
Última modificación:
02/07/2025

CVE-2025-49588

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** Linkwarden is a self-hosted, open-source collaborative bookmark manager to collect, organize and archive webpages. In version 2.10.2, the server accepts links of format file:///etc/passwd and doesn&amp;#39;t do any validation before sending them to parsers and playwright, this can result in leak of other user&amp;#39;s links (and in some cases it might be possible to leak environment secrets). This issue has been patched in version 2.10.3 which has not been made public at time of publication.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/07/2025

CVE-2025-34057

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** An information disclosure vulnerability exists in Ruijie NBR series routers (known to affect NBR2000G, NBR1300G, and NBR1000 models) via the /WEB_VMS/LEVEL15/ endpoint. By crafting a specific POST request with modified Cookie headers and specially formatted parameters, an unauthenticated attacker can retrieve administrative account credentials in plaintext. This flaw allows direct disclosure of sensitive user data due to improper authentication checks and insecure backend logic.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/07/2025

CVE-2025-34067

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** An unauthenticated remote command execution vulnerability exists in the applyCT component of the Hikvision Integrated Security Management Platform due to the use of a vulnerable version of the Fastjson library. The endpoint /bic/ssoService/v1/applyCT deserializes untrusted user input, allowing an attacker to trigger Fastjson&amp;#39;s auto-type feature to load arbitrary Java classes. By referencing a malicious class via an LDAP URL, an attacker can achieve remote code execution on the underlying system.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/07/2025

CVE-2025-34069

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** An authentication bypass vulnerability exists in GFI Kerio Control 9.4.5 due to insecure default proxy configuration and weak access control in the GFIAgent service. The non-transparent proxy on TCP port 3128 can be used to forward unauthenticated requests to internal services such as GFIAgent, bypassing firewall restrictions and exposing internal management endpoints. This enables unauthenticated attackers to access the GFIAgent service on ports 7995 and 7996, retrieve the appliance UUID, and issue administrative requests via the proxy. Exploitation results in full administrative access to the Kerio Control appliance.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/07/2025

CVE-2025-34070

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** A missing authentication vulnerability in the GFIAgent component of GFI Kerio Control 9.4.5 allows unauthenticated remote attackers to perform privileged operations. The GFIAgent service, responsible for integration with GFI AppManager, exposes HTTP services on ports 7995 and 7996 without proper authentication. The /proxy handler on port 7996 allows arbitrary forwarding to administrative endpoints when provided with an Appliance UUID, which itself can be retrieved from port 7995. This results in a complete authentication bypass, permitting access to sensitive administrative APIs.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/07/2025

CVE-2025-34071

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** A remote code execution vulnerability in GFI Kerio Control 9.4.5 allows attackers with administrative access to upload and execute arbitrary code through the firmware upgrade feature. The system upgrade mechanism accepts unsigned .img files, which can be modified to include malicious scripts within the upgrade.sh or disk image components. These modified upgrade images are not validated for authenticity or integrity, and are executed by the system post-upload, enabling root access.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/07/2025

CVE-2025-34072

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** A data exfiltration vulnerability exists in Anthropic’s deprecated Slack Model Context Protocol (MCP) Server via automatic link unfurling. When an AI agent using the Slack MCP Server processes untrusted data, it can be manipulated to generate messages containing attacker-crafted hyperlinks embedding sensitive data. Slack’s link preview bots (e.g., Slack-LinkExpanding, Slackbot, Slack-ImgProxy) will then issue outbound requests to the attacker-controlled URL, resulting in zero-click exfiltration of private data.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/07/2025

CVE-2025-34073

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** An unauthenticated command injection vulnerability exists in stamparm/maltrail (Maltrail) versions
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/07/2025

CVE-2025-27026

Fecha de publicación:
02/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** A missing double-check feature in the WebGUI for CLI deactivation in Infinera G42 <br /> version R6.1.3 allows an authenticated administrator to make other <br /> management interfaces unavailable via local and network interfaces. The CLI deactivation via the WebGUI does not only stop CLI interface but deactivates also Linux Shell, WebGUI and Physical Serial Console access. No <br /> confirmation is asked at deactivation time. Loosing access to these services device administrators are at risk of completely loosing device control.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2025