Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-47256

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** Libxmp through 4.6.2 has a stack-based buffer overflow in depack_pha in loaders/prowizard/pha.c via a malformed Pha format tracker module in a .mod file.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

CVE-2025-47417

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Crestron Automate VX allows Functionality Misuse.<br /> <br /> <br /> <br /> When Enable Debug Images in Crestron Automate VX is active, snapshots of the captured video or portions thereof are stored locally on the system, and there is no visible indication that this is being done.<br /> <br /> <br /> This issue affects Automate VX: from 5.6.8161.21536 through 6.4.0.49.
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/05/2025

CVE-2024-12225

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was found in Quarkus in the quarkus-security-webauthn module. The Quarkus WebAuthn module publishes default REST endpoints for registering and logging users in while allowing developers to provide custom REST endpoints. When developers provide custom REST endpoints, the default endpoints remain accessible, potentially allowing attackers to obtain a login cookie that has no corresponding user in the Quarkus application or, depending on how the application is written, could correspond to an existing user that has no relation with the current attacker, allowing anyone to log in as an existing user by just knowing that user&amp;#39;s user name.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/05/2025

CVE-2025-46816

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** goshs is a SimpleHTTPServer written in Go. Starting in version 0.3.4 and prior to version 1.0.5, running goshs without arguments makes it possible for anyone to execute commands on the server. The function `dispatchReadPump` does not checks the option cli `-c`, thus allowing anyone to execute arbitrary command through the use of websockets. Version 1.0.5 fixes the issue.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/05/2025

CVE-2025-46820

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** phpgt/Dom provides access to modern DOM APIs. Versions of phpgt/Dom prior to 4.1.8 expose the GITHUB_TOKEN in the Dom workflow run artifact. The ci.yml workflow file uses actions/upload-artifact@v4 to upload the build artifact. This artifact is a zip of the current directory, which includes the automatically generated .git/config file containing the run&amp;#39;s GITHUB_TOKEN. Seeing as the artifact can be downloaded prior to the end of the workflow, there is a few seconds where an attacker can extract the token from the artifact and use it with the GitHub API to push malicious code or rewrite release commits in your repository. Any downstream user of the repository may be affected, but the token should only be valid for the duration of the workflow run, limiting the time during which exploitation could occur. Version 4.1.8 fixes the issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/05/2025

CVE-2025-4388

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** A reflected cross-site scripting (XSS) vulnerability in the Liferay Portal 7.4.0 through 7.4.3.131, and Liferay DXP 2024.Q4.0 through 2024.Q4.5, 2024.Q3.1 through 2024.Q3.13, 2024.Q2.0 through 2024.Q2.13, 2024.Q1.1 through 2024.Q1.12, 7.4 GA through update 92 allows an remote non-authenticated attacker to inject JavaScript into the modules/apps/marketplace/marketplace-app-manager-web.
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/05/2025

CVE-2025-44900

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** In Tenda RX3 V1.0br_V16.03.13.11 in the GetParentControlInfo function of the web url /goform/GetParentControlInfo, the manipulation of the parameter mac leads to stack overflow.
Gravedad: Pendiente de análisis
Última modificación:
06/05/2025

CVE-2025-37730

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** Improper certificate validation in Logstash&amp;#39;s TCP output could lead to a man-in-the-middle (MitM) attack in “client” mode, as hostname verification in TCP output was not being performed when the ssl_verification_mode =&gt; full was set.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

CVE-2025-46815

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** The identity infrastructure software ZITADEL offers developers the ability to manage user sessions using the Session API. This API enables the use of IdPs for authentication, known as idp intents. Following a successful idp intent, the client receives an id and token on a predefined URI. These id and token can then be used to authenticate the user or their session. However, prior to versions 3.0.0, 2.71.9, and 2.70.10, it was possible to exploit this feature by repeatedly using intents. This allowed an attacker with access to the application’s URI to retrieve the id and token, enabling them to authenticate on behalf of the user. It&amp;#39;s important to note that the use of additional factors (MFA) prevents a complete authentication process and, consequently, access to the ZITADEL API. Versions 3.0.0, 2.71.9, and 2.70.10 contain a fix for the issue. No known workarounds other than upgrading are available.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/05/2025

CVE-2025-25014

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** A Prototype pollution vulnerability in Kibana leads to arbitrary code execution via crafted HTTP requests to machine learning and reporting endpoints.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/05/2025

CVE-2025-45250

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** MrDoc v0.95 and before is vulnerable to Server-Side Request Forgery (SSRF) in the validate_url function of the app_doc/utils.py file.
Gravedad: Pendiente de análisis
Última modificación:
06/05/2025

CVE-2025-32022

Fecha de publicación:
06/05/2025
Idioma:
Inglés
*** Pendiente de traducción *** Finit provides fast init for Linux systems. Finit&amp;#39;s urandom plugin has a heap buffer overwrite vulnerability at boot which leads to it overwriting other parts of the heap, possibly causing random instabilities and undefined behavior. The urandom plugin is enabled by default, so this bug affects everyone using Finit 4.2 or later that do not explicitly disable the plugin at build time. This bug is fixed in Finit 4.12. Those who cannot upgrade or backport the fix to urandom.c are strongly recommended to disable the plugin in the call to the `configure` script.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025