Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-59054

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** dstack is a software development kit (SDK) to simplify the deployment of arbitrary containerized apps into trusted execution environments. In versions of dstack prior to 0.5.4, a malicious host may provide a crafted LUKS2 data volume to a dstack CVM for use as the `/data` mount. The guest will open the volume and write secret data using a volume key known to the attacker, causing disclosure of Wireguard keys and other secret information. The attacker can also pre-load data on the device, which could potentially compromise guest execution. LUKS2 volume metadata is not authenticated and supports null key-encryption algorithms, allowing an attacker to create a volume such that the volume opens (cryptsetup open) without error using any passphrase or token, records all writes in plaintext (or ciphertext with an attacker-known key), and/or contains arbitrary data chosen by the attacker. Version 0.5.4 of dstack contains a patch that addresses LUKS headers.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/09/2025

CVE-2025-10318

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was identified in JeecgBoot up to 3.8.2. Affected by this vulnerability is an unknown functionality of the file /api/system/sendWebSocketMsg of the component WebSocket Message Handler. The manipulation of the argument userIds leads to improper authorization. The attack can be initiated remotely. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/09/2025

CVE-2025-8699

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Some "Stored Value" Unattended Payment Solutions of KioSoft use vulnerable NFC cards. Attackers could potentially use this vulnerability to change the balance on the cards and generate money. The account balance is stored on an insecure MiFare Classic NFC card and can be read and written back. By carefully observing changes in card dumps, one can identify fields that store the cash value of the card. Additionally, a checksum can be identified, which is created by XOR-ing the cash and an unknown field with a certain value. By updating the fields accordingly, arbitrary amounts of money can be loaded onto the card (up to $655,35) to pay for goods.
Gravedad: Pendiente de análisis
Última modificación:
12/09/2025

CVE-2025-10267

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** NUP Portal developed by NewType Infortech has a Missing Authentication vulnerability, allowing unauthenticated remote attackers to directly upload files. If the attacker manages to bypass the file extension restrictions, they could upload a webshell and execute it on the server side.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/09/2025

CVE-2025-27233

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Zabbix Agent 2 smartctl plugin does not properly sanitize smart.disk.get parameters, allowing an attacker to inject unexpected arguments into the smartctl command. This can be used to leak the NTLMv2 hash from a Windows system.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/09/2025

CVE-2025-27234

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Zabbix Agent 2 smartctl plugin does not properly sanitize smart.disk.get parameters, allowing an attacker to inject unexpected arguments into the smartctl command. In Zabbix 5.0 this allows for remote code execution.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/09/2025

CVE-2025-27238

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Due to a bug in Zabbix API, the hostprototype.get method lists all host prototypes to users that do not have any user groups assigned to them.
Gravedad CVSS v4.0: BAJA
Última modificación:
12/09/2025

CVE-2025-27240

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** A Zabbix adminitrator can inject arbitrary SQL during the autoremoval of hosts by inserting malicious SQL in the 'Visible name' field.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/09/2025

CVE-2025-6638

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** A Regular Expression Denial of Service (ReDoS) vulnerability was discovered in the Hugging Face Transformers library, specifically affecting the MarianTokenizer's `remove_language_code()` method. This vulnerability is present in version 4.52.4 and has been fixed in version 4.53.0. The issue arises from inefficient regex processing, which can be exploited by crafted input strings containing malformed language code patterns, leading to excessive CPU consumption and potential denial of service.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/09/2025

CVE-2025-10265

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Certain models of NVR developed by Digiever has an OS Command Injection vulnerability, allowing unauthenticated remote attackers to inject arbitrary OS commands and execute them on the device.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/09/2025

CVE-2025-10266

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** NUP Pro developed by NewType Infortech has a SQL Injection vulnerability, allowing unauthenticated remote attackers to inject arbitrary SQL commands to read, modify, and delete database contents.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/09/2025

CVE-2025-7448

Fecha de publicación:
12/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Wi-SUN unexpected 4- Way Handshake packet receptions may lead to predictable keys and potentially leading to Man in the middle (MitM) attack
Gravedad CVSS v4.0: ALTA
Última modificación:
12/09/2025