Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-34088

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** An authenticated remote code execution vulnerability exists in Pandora FMS version 7.0NG and earlier. The net_tools.php functionality allows authenticated users to execute arbitrary OS commands via the select_ips parameter when performing network tools operations, such as pinging. This occurs because user input is not properly sanitized before being passed to system commands, enabling command injection.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/07/2025

CVE-2025-34089

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** An unauthenticated remote code execution vulnerability exists in Remote for Mac, a macOS remote control utility developed by Aexol Studio, in versions up to and including 2025.7. When the application is configured with authentication disabled (i.e., the "Allow unknown devices" option is enabled), the /api/executeScript endpoint is exposed without access control. This allows unauthenticated remote attackers to inject arbitrary AppleScript payloads via the X-Script HTTP header, resulting in code execution using do shell script. Successful exploitation grants attackers the ability to run arbitrary commands on the macOS host with the privileges of the Remote for Mac background process.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/07/2025

CVE-2025-52554

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** n8n is a workflow automation platform. Prior to version 1.99.1, an authorization vulnerability was discovered in the /rest/executions/:id/stop endpoint of n8n. An authenticated user can stop workflow executions that they do not own or that have not been shared with them, leading to potential business disruption. This issue has been patched in version 1.99.1. A workaround involves restricting access to the /rest/executions/:id/stop endpoint via reverse proxy or API gateway.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/07/2025

CVE-2025-53368

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** Citizen is a MediaWiki skin that makes extensions part of the cohesive experience. From versions 1.9.4 to before 3.4.0, page descriptions are inserted into raw HTML without proper sanitization by the Citizen skin when using the old search bar. Any user with page editing privileges can insert cross-site scripting (XSS) payloads into the DOM for other users who are searching for specific pages. This issue has been patched in version 3.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2025

CVE-2025-53369

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** Short Description is a MediaWiki extension that provides local short description support. In version 4.0.0, short descriptions are not properly sanitized before being inserted as HTML using mw.util.addSubtitle, allowing any user to insert arbitrary HTML into the DOM by editing a page. This issue has been patched in version 4.0.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2025

CVE-2025-53370

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** Citizen is a MediaWiki skin that makes extensions part of the cohesive experience. From versions 1.9.4 to before 3.4.0, short descriptions set via the ShortDescription extension are inserted as raw HTML by the Citizen skin, allowing any user to insert arbitrary HTML into the DOM by editing a page. This issue has been patched in version 3.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2025

CVE-2025-34082

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** A command injection vulnerability exists in IGEL OS versions prior to 11.04.270 within the Secure Terminal and Secure Shadow services. The flaw arises due to improper input sanitization in the handling of specially crafted PROXYCMD commands on TCP ports 30022 and 5900. An unauthenticated attacker with network access to a vulnerable device can inject arbitrary commands, leading to remote code execution with elevated privileges.<br /> <br /> NOTE: IGEL OS v10.x has reached end-of-life (EOL) status.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/07/2025

CVE-2025-34086

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** Bolt CMS versions 3.7.0 and earlier contain a chain of vulnerabilities that together allow an authenticated user to achieve remote code execution. A user with valid credentials can inject arbitrary PHP code into the displayname field of the user profile, which is rendered unsanitized in backend templates. The attacker can then list and rename cached session files via the /async/browse/cache/.sessions and /async/folder/rename endpoints. By renaming a .session file to a path under the publicly accessible /files/ directory with a .php extension, the attacker can turn the injected code into an executable web shell. Finally, the attacker triggers the payload via a crafted HTTP GET request to the rogue file.<br /> <br /> NOTE: The vendor announced that Bolt 3 reached end-of-life after 31 December 2021.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/07/2025

CVE-2025-34087

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** An authenticated command injection vulnerability exists in Pi-hole versions up to 3.3. When adding a domain to the allowlist via the web interface, the domain parameter is not properly sanitized, allowing an attacker to append OS commands to the domain string. These commands are executed on the underlying operating system with the privileges of the Pi-hole service user.<br /> <br /> <br /> <br /> <br /> This behavior was present in the legacy AdminLTE interface and has since been patched in later versions.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/07/2025

CVE-2025-34061

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** A backdoor in PHPStudy versions 2016 through 2018 allows unauthenticated remote attackers to execute arbitrary PHP code on affected installations. The backdoor listens for base64-encoded PHP payloads in the Accept-Charset HTTP header of incoming requests, decodes and executes the payload without proper validation. This leads to remote code execution as the web server user, compromising the affected system.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/07/2025

CVE-2025-45809

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** BerriAI litellm v1.65.4 was discovered to contain a SQL injection vulnerability via the /key/block endpoint.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2025

CVE-2025-23968

Fecha de publicación:
03/07/2025
Idioma:
Inglés
*** Pendiente de traducción *** Unrestricted Upload of File with Dangerous Type vulnerability in WPCenter AiBud WP allows Upload a Web Shell to a Web Server.This issue affects AiBud WP: from n/a through 1.8.5.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/07/2025