Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-49354
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) vulnerability in Mindstien Technologies Recent Posts From Each Category allows Stored XSS.This issue affects Recent Posts From Each Category: from n/a through 1.4.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2025

CVE-2025-68885
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) vulnerability in Page Carbajal Custom Post Status allows Stored XSS.This issue affects Custom Post Status: from n/a through 1.1.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2025

CVE-2025-69277
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** libsodium before ad3004e, in atypical use cases involving certain custom cryptography or untrusted data to crypto_core_ed25519_is_valid_point, mishandles checks for whether an elliptic curve point is valid because it sometimes allows points that aren't in the main cryptographic group.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/12/2025

CVE-2025-13029
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** The Knowband Mobile App Builder WordPress plugin before 3.0.0 does not have authorisation when deleting users via its REST API, allowing unauthenticated attackers to delete arbitrary users.
Gravedad: Pendiente de análisis
Última modificación:
31/12/2025

CVE-2025-14434
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** The Ultimate Post Kit Addons for Elementor WordPress plugin before 4.0.16 exposes multiple AJAX “load more” endpoints such as upk_alex_grid_loadmore_posts without ensuring that posts to be displayed are published authentication. This allows an unauthenticated attacker to query arbitrary posts and retrieve rendered HTML content of private and unpublished ones.
Gravedad: Pendiente de análisis
Última modificación:
31/12/2025

CVE-2025-49342
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) vulnerability in Wolfgang Häfelinger Custom Style allows Stored XSS.This issue affects Custom Style: from n/a through 1.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2025

CVE-2025-49343
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) vulnerability in Socialprofilr Social Profilr allows Stored XSS.This issue affects Social Profilr: from n/a through 1.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2025

CVE-2025-49344
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) vulnerability in Rene Ade SensitiveTagCloud allows Stored XSS.This issue affects SensitiveTagCloud: from n/a through 1.4.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2025

CVE-2025-49345
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) vulnerability in mg12 WP-EasyArchives allows Stored XSS.This issue affects WP-EasyArchives: from n/a through 3.1.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2025

CVE-2025-59137
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) vulnerability in eLEOPARD Behance Portfolio Manager allows Stored XSS.This issue affects Behance Portfolio Manager: from n/a through 1.7.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2025

CVE-2025-49346
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) vulnerability in Peter Sterling Simple Archive Generator allows Stored XSS.This issue affects Simple Archive Generator: from n/a through 5.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2025

CVE-2025-15375
Fecha de publicación:
31/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** A flaw has been found in EyouCMS up to 1.7.7. The impacted element is the function unserialize of the file application/api/controller/Ajax.php of the component arcpagelist Handler. Executing manipulation of the argument attstr can lead to deserialization. The attack can be launched remotely. The exploit has been published and may be used. The vendor is "[a]cknowledging the existence of the vulnerability, we have completed the fix and will release a new version, v1.7.8".
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/12/2025
Suscribirse a Vulnerabilidades