Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-5946

Fecha de publicación:

14/10/2025

Idioma:

Inglés

*** Pendiente de traducción *** Improper Neutralization of Special Elements used in an OS Command (&#39;OS Command Injection&#39;) vulnerability in Centreon Infra Monitoring (Poller reload setup in the configuration modules) allows OS Command Injection. On the poller parameters page, a user with high privilege is able to concatenate custom instructions into the poller reload command. This issue affects Infra Monitoring: from 24.10.0 before 24.10.13, from 24.04.0 before 24.04.18, from 23.10.0 before 23.10.28.

Gravedad CVSS v3.1: ALTA

Última modificación:

22/10/2025

CVE-2025-54891

Fecha de publicación:

14/10/2025

Idioma:

Inglés

*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (XSS or &#39;Cross-site Scripting&#39;) vulnerability in Centreon Infra Monitoring (ACL Resource access configuration modules) allows Stored XSS by users with elevated privileges. This issue affects Infra Monitoring: from 24.10.0 before 24.10.13, from 24.04.0 before 24.04.18, from 23.10.0 before 23.10.28.

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/10/2025

CVE-2025-54892

Fecha de publicación:

14/10/2025

Idioma:

Inglés

*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (XSS or &#39;Cross-site Scripting&#39;) vulnerability in Centreon Infra Monitoring (SNMP traps group configuration modules) allows Stored XSS by users with elevated privileges. This issue affects Infra Monitoring: from 24.10.0 before 24.10.13, from 24.04.0 before 24.04.18, from 23.10.0 before 23.10.28.

Gravedad CVSS v3.1: MEDIA

Última modificación:

22/10/2025

CVE-2025-56747

Fecha de publicación:

14/10/2025

Idioma:

Inglés

*** Pendiente de traducción *** Creativeitem Academy LMS up to and including 5.13 contains a privilege escalation vulnerability in the Api_instructor controller where regular authenticated users can access instructor-only functions without proper role validation, allowing unauthorized course creation and management.

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/10/2025

CVE-2025-54889

Fecha de publicación:

14/10/2025

Idioma:

Inglés

*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (XSS or &#39;Cross-site Scripting&#39;) vulnerability in Centreon Infra Monitoring (SNMP traps manufacturer configuration modules) allows Stored XSS by users with elevated privileges. This issue affects Infra Monitoring: from 24.10.0 before 24.10.13, from 24.04.0 before 24.04.18, from 23.10.0 before 23.10.28.

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/10/2025

CVE-2025-27906

Fecha de publicación:

14/10/2025

Idioma:

Inglés

*** Pendiente de traducción *** IBM Content Navigator 3.0.11, 3.0.15, 3.1.0, and 3.2.0 could expose the directory listing of the application upon using an application URL. Application files and folders are visible in the browser to a user; however, the contents of the files cannot be read obtained or modified.

Gravedad CVSS v3.1: MEDIA

Última modificación:

21/10/2025

CVE-2025-10242

Fecha de publicación:

14/10/2025

Idioma:

Inglés

*** Pendiente de traducción *** OS command injection in the admin panel of Ivanti EPMM before version 12.6.0.2, 12.5.0.4, and 12.4.0.4 allows a remote authenticated attacker with admin privileges to achieve remote code execution.

Gravedad CVSS v3.1: ALTA

Última modificación:

15/10/2025

CVE-2025-10243

Fecha de publicación:

14/10/2025

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

15/10/2025

CVE-2025-10985

Fecha de publicación:

14/10/2025

Idioma:

Inglés

Gravedad CVSS v3.1: ALTA

Última modificación:

15/10/2025

CVE-2025-10986

Fecha de publicación:

14/10/2025

Idioma:

Inglés

*** Pendiente de traducción *** Path traversal in the admin panel of Ivanti EPMM before version 12.6.0.2, 12.5.0.4, and 12.4.0.4 allows a remote authenticated attacker with admin privileges to write data in unintended locations on disk.

Gravedad CVSS v3.1: MEDIA

Última modificación:

15/10/2025

CVE-2025-0033

Fecha de publicación:

14/10/2025

Idioma:

Inglés

*** Pendiente de traducción *** Improper access control within AMD SEV-SNP could allow an admin privileged attacker to write to the RMP during SNP initialization, potentially resulting in a loss of SEV-SNP guest memory integrity.

Gravedad CVSS v3.1: MEDIA

Última modificación:

14/10/2025

CVE-2024-44088

Fecha de publicación:

14/10/2025

Idioma:

Inglés

*** Pendiente de traducción *** Malicious script injection (&#39;Cross-site Scripting&#39;) vulnerability in Apache Geode web-api (REST). This vulnerability allows an attacker that tricks a logged-in user into clicking a specially-crafted link to execute code on the returned page, which could lead to theft of the user&#39;s session information and even account takeover. This issue affects Apache Geode: all versions prior to 1.15.2 Users are recommended to upgrade to version 1.15.2, which fixes the issue.

Gravedad CVSS v3.1: MEDIA

Última modificación:

04/11/2025

Suscribirse a Vulnerabilidades