Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-65503
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Use after free in endpoint destructors in Redboltz async_mqtt 10.2.5 allows local users to cause a denial of service via triggering SSL initialization failure that results in incorrect destruction order between io_context and endpoint objects.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/11/2025

CVE-2025-65998
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Apache Syncope can be configured to store the user password values in the internal database with AES encryption, though this is not the default option.<br /> <br /> When AES is configured, the default key value, hard-coded in the source code, is always used. This allows a malicious attacker, once obtained access to the internal database content, to reconstruct the original cleartext password values.<br /> This is not affecting encrypted plain attributes, whose values are also stored using AES encryption.<br /> <br /> Users are recommended to upgrade to version 3.0.15 / 4.0.3, which fix this issue.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/11/2025

CVE-2025-65495
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Integer signedness error in tls_verify_call_back() in src/coap_openssl.c in OISM libcoap 4.3.5 allows remote attackers to cause a denial of service via a crafted TLS certificate that causes i2d_X509() to return -1 and be misused as a malloc() size parameter.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/11/2025

CVE-2025-65496
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** NULL pointer dereference in coap_dtls_generate_cookie() in src/coap_openssl.c in OISM libcoap 4.3.5 allows remote attackers to cause a denial of service via a crafted DTLS handshake that triggers SSL_get_SSL_CTX() to return NULL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2025

CVE-2025-65497
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** NULL pointer dereference in coap_dtls_generate_cookie() in src/coap_openssl.c in OISM libcoap 4.3.5 allows remote attackers to cause a denial of service via a crafted DTLS handshake that triggers SSL_get_SSL_CTX() to return NULL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2025

CVE-2025-65498
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** NULL pointer dereference in coap_dtls_generate_cookie() in src/coap_openssl.c in OISM libcoap 4.3.5 allows remote attackers to cause a denial of service via a crafted DTLS handshake that triggers SSL_get_SSL_CTX() to return NULL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2025

CVE-2025-65499
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Array index error in tls_verify_call_back() in src/coap_openssl.c in OISM libcoap 4.3.5 allows remote attackers to cause a denial of service via a crafted DTLS handshake that triggers SSL_get_ex_data_X509_STORE_CTX_idx() to return -1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2025

CVE-2025-65500
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** NULL pointer dereference in coap_dtls_generate_cookie() in src/coap_openssl.c in OISM libcoap 4.3.5 allows remote attackers to cause a denial of service via a crafted DTLS handshake that triggers SSL_get_SSL_CTX() to return NULL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2025

CVE-2025-65501
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Null pointer dereference in coap_dtls_info_callback() in OISM libcoap 4.3.5 allows remote attackers to cause a denial of service via a DTLS handshake where SSL_get_app_data() returns NULL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2025

CVE-2025-65493
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** NULL pointer dereference in src/coap_openssl.c in OISM libcoap 4.3.5 allows remote attackers to cause a denial of service via a crafted DTLS/TLS connection that triggers BIO_get_data() to return NULL.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/11/2025

CVE-2025-65494
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** NULL pointer dereference in get_san_or_cn_from_cert() in src/coap_openssl.c in OISM libcoap 4.3.5 allows remote attackers to cause a denial of service via a crafted X.509 certificate that causes sk_GENERAL_NAME_value() to return NULL.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/11/2025

CVE-2025-41016
Fecha de publicación:
24/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Inadequate access control vulnerability in Davantis DFUSION v6.177.7, which allows unauthorised actors to extract images and videos related to alarm events through access to “/alarms//”, where the “MEDIA” parameter can take the value of “snapshot” or “video.mp4”. These media files contain images recorded by security cameras in response to triggered alerts.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/11/2025
Suscribirse a Vulnerabilidades