Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-59684
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** DigiSign DigiSigner ONE 1.0.4.60 allows DLL Hijacking.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/10/2025

CVE-2025-52040
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** In Frappe ERPNext 15.57.5, the function get_blanket_orders() at erpnext/controllers/queries.py is vulnerable to SQL Injection, which allows an attacker can extract all information from databases by injecting a SQL query into the blanket_order_type parameter.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2025

CVE-2025-52041
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** In Frappe ERPNext 15.57.5, the function get_stock_balance_for() at erpnext/stock/doctype/stock_reconciliation/stock_reconciliation.py is vulnerable to SQL Injection, which allows an attacker to extract all information from databases by injecting a SQL query into the inventory_dimensions_dict parameter.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2025

CVE-2025-52042
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** In Frappe ERPNext 15.57.5, the function get_rfq_containing_supplier() at erpnext/buying/doctype/request_for_quotation/request_for_quotation.py is vulnerable to SQL Injection, which allows an attacker to extract all information from databases by injecting SQL query via the txt parameter.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2025

CVE-2025-52039
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** In Frappe ERPNext 15.57.5, the function get_material_requests_based_on_supplier() at erpnext/stock/doctype/material_request/material_request.py is vulnerable to SQL Injection, which allows an attacker to extract all information from databases by injecting a SQL query into the txt parameter.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2025

CVE-2025-41421
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Improper handling of symbolic links in the TeamViewer Full Client and Host for Windows — in versions prior to 15.70 of TeamViewer Remote and Tensor — allows an attacker with local, unprivileged access to a device lacking adequate malware protection to escalate privileges by spoofing the update file path. This may result in unauthorized access to sensitive information.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/10/2025

CVE-2025-40647
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Stored Cross-Site Scripting (XSS) vulnerability in Issabel v5.0.0, consisting of a stored XSS due to a lack of proper validation of user input, through the 'email' parameter in '/index.php?menu=address_book'.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/10/2025

CVE-2025-40648
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Stored Cross-Site Scripting (XSS) vulnerability in Issabel v5.0.0, consisting of a stored XSS due to a lack of proper validation of user input, through the 'numero_conferencia' parameter in '/index.php?menu=conferencia'.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/10/2025

CVE-2023-53525
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> RDMA/cma: Allow UD qp_type to join multicast only<br /> <br /> As for multicast:<br /> - The SIDR is the only mode that makes sense;<br /> - Besides PS_UDP, other port spaces like PS_IB is also allowed, as it is<br /> UD compatible. In this case qkey also needs to be set [1].<br /> <br /> This patch allows only UD qp_type to join multicast, and set qkey to<br /> default if it&amp;#39;s not set, to fix an uninit-value error: the ib-&gt;rec.qkey<br /> field is accessed without being initialized.<br /> <br /> =====================================================<br /> BUG: KMSAN: uninit-value in cma_set_qkey drivers/infiniband/core/cma.c:510 [inline]<br /> BUG: KMSAN: uninit-value in cma_make_mc_event+0xb73/0xe00 drivers/infiniband/core/cma.c:4570<br /> cma_set_qkey drivers/infiniband/core/cma.c:510 [inline]<br /> cma_make_mc_event+0xb73/0xe00 drivers/infiniband/core/cma.c:4570<br /> cma_iboe_join_multicast drivers/infiniband/core/cma.c:4782 [inline]<br /> rdma_join_multicast+0x2b83/0x30a0 drivers/infiniband/core/cma.c:4814<br /> ucma_process_join+0xa76/0xf60 drivers/infiniband/core/ucma.c:1479<br /> ucma_join_multicast+0x1e3/0x250 drivers/infiniband/core/ucma.c:1546<br /> ucma_write+0x639/0x6d0 drivers/infiniband/core/ucma.c:1732<br /> vfs_write+0x8ce/0x2030 fs/read_write.c:588<br /> ksys_write+0x28c/0x520 fs/read_write.c:643<br /> __do_sys_write fs/read_write.c:655 [inline]<br /> __se_sys_write fs/read_write.c:652 [inline]<br /> __ia32_sys_write+0xdb/0x120 fs/read_write.c:652<br /> do_syscall_32_irqs_on arch/x86/entry/common.c:114 [inline]<br /> __do_fast_syscall_32+0x96/0xf0 arch/x86/entry/common.c:180<br /> do_fast_syscall_32+0x34/0x70 arch/x86/entry/common.c:205<br /> do_SYSENTER_32+0x1b/0x20 arch/x86/entry/common.c:248<br /> entry_SYSENTER_compat_after_hwframe+0x4d/0x5c<br /> <br /> Local variable ib.i created at:<br /> cma_iboe_join_multicast drivers/infiniband/core/cma.c:4737 [inline]<br /> rdma_join_multicast+0x586/0x30a0 drivers/infiniband/core/cma.c:4814<br /> ucma_process_join+0xa76/0xf60 drivers/infiniband/core/ucma.c:1479<br /> <br /> CPU: 0 PID: 29874 Comm: syz-executor.3 Not tainted 5.16.0-rc3-syzkaller #0<br /> Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01/2011<br /> =====================================================<br /> <br /> [1] https://lore.kernel.org/linux-rdma/20220117183832.GD84788@nvidia.com/
Gravedad: Pendiente de análisis
Última modificación:
02/10/2025

CVE-2023-53526
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> jbd2: check &amp;#39;jh-&gt;b_transaction&amp;#39; before removing it from checkpoint<br /> <br /> Following process will corrupt ext4 image:<br /> Step 1:<br /> jbd2_journal_commit_transaction<br /> __jbd2_journal_insert_checkpoint(jh, commit_transaction)<br /> // Put jh into trans1-&gt;t_checkpoint_list<br /> journal-&gt;j_checkpoint_transactions = commit_transaction<br /> // Put trans1 into journal-&gt;j_checkpoint_transactions<br /> <br /> Step 2:<br /> do_get_write_access<br /> test_clear_buffer_dirty(bh) // clear buffer dirty,set jbd dirty<br /> __jbd2_journal_file_buffer(jh, transaction) // jh belongs to trans2<br /> <br /> Step 3:<br /> drop_cache<br /> journal_shrink_one_cp_list<br /> jbd2_journal_try_remove_checkpoint<br /> if (!trylock_buffer(bh)) // lock bh, true<br /> if (buffer_dirty(bh)) // buffer is not dirty<br /> __jbd2_journal_remove_checkpoint(jh)<br /> // remove jh from trans1-&gt;t_checkpoint_list<br /> <br /> Step 4:<br /> jbd2_log_do_checkpoint<br /> trans1 = journal-&gt;j_checkpoint_transactions<br /> // jh is not in trans1-&gt;t_checkpoint_list<br /> jbd2_cleanup_journal_tail(journal) // trans1 is done<br /> <br /> Step 5: Power cut, trans2 is not committed, jh is lost in next mounting.<br /> <br /> Fix it by checking &amp;#39;jh-&gt;b_transaction&amp;#39; before remove it from checkpoint.
Gravedad: Pendiente de análisis
Última modificación:
02/10/2025

CVE-2023-53527
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> thunderbolt: Fix memory leak in tb_handle_dp_bandwidth_request()<br /> <br /> The memory allocated in tb_queue_dp_bandwidth_request() needs to be<br /> released once the request is handled to avoid leaking it.
Gravedad: Pendiente de análisis
Última modificación:
02/10/2025

CVE-2023-53528
Fecha de publicación:
01/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> RDMA/rxe: Fix unsafe drain work queue code<br /> <br /> If create_qp does not fully succeed it is possible for qp cleanup<br /> code to attempt to drain the send or recv work queues before the<br /> queues have been created causing a seg fault. This patch checks<br /> to see if the queues exist before attempting to drain them.
Gravedad: Pendiente de análisis
Última modificación:
02/10/2025
Suscribirse a Vulnerabilidades