Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-66629

Fecha de publicación:

05/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** HedgeDoc is an open source, real-time, collaborative, markdown notes application. Prior to 1.10.4, some of HedgeDoc&#39;s OAuth2 endpoints for social login providers such as Google, GitHub, GitLab, Facebook or Dropbox lack CSRF protection, since they don&#39;t send a state parameter and verify the response using this parameter. This vulnerability is fixed in 1.10.4.

Gravedad CVSS v3.1: BAJA

Última modificación:

09/12/2025

Vulnerabilidad en RAR App de Rarlab (CVE-2025-14111)

Fecha de publicación:

05/12/2025

Idioma:

Español

Una vulnerabilidad de seguridad ha sido detectada en la aplicación Rarlab RAR hasta la versión 7.11 Build 127 en Android. Esto afecta una parte desconocida del componente com.rarlab.rar. Dicha manipulación conduce a un salto de ruta. Es posible lanzar el ataque de forma remota. Los ataques de esta naturaleza son altamente complejos. Se indica que la explotabilidad es difícil. El exploit ha sido divulgado públicamente y puede ser utilizado. La actualización a la versión 7.20 build 128 puede mitigar este problema. Debería actualizar el componente afectado. El proveedor respondió de forma muy profesional: &#39;Esta es la vulnerabilidad real que afecta solo a RAR para Android. Las versiones de WinRAR y Unix RAR no están afectadas. Ya lo solucionamos en RAR para Android 7.20 build 128 y lo mencionamos públicamente en el registro de cambios de esa versión. (...) Para evitar confusiones entre los usuarios, sería útil que dicha divulgación enfatice que es un problema exclusivo de RAR para Android y que WinRAR no está afectado.&#39;

Gravedad CVSS v4.0: BAJA

Última modificación:

12/12/2025

CVE-2025-14107

Fecha de publicación:

05/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** A security flaw has been discovered in ZSPACE Q2C NAS up to 1.1.0210050. Affected by this vulnerability is the function zfilev2_api.SafeStatus of the file /v2/file/safe/status of the component HTTP POST Request Handler. The manipulation of the argument safe_dir results in command injection. The attack may be performed from remote. The exploit has been released to the public and may be exploited. The vendor was contacted early about this disclosure and confirmed the existence of the vulnerability. A technical fix is planned to be released.

Gravedad CVSS v4.0: ALTA

Última modificación:

16/12/2025

CVE-2025-14108

Fecha de publicación:

05/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** A weakness has been identified in ZSPACE Q2C NAS up to 1.1.0210050. Affected by this issue is the function zfilev2_api.OpenSafe of the file /v2/file/safe/open of the component HTTP POST Request Handler. This manipulation of the argument safe_dir causes command injection. It is possible to initiate the attack remotely. The exploit has been made available to the public and could be exploited. The vendor was contacted early about this disclosure and confirmed the existence of the vulnerability. A technical fix is planned to be released.

Gravedad CVSS v4.0: ALTA

Última modificación:

16/12/2025

CVE-2025-14106

Fecha de publicación:

05/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was identified in ZSPACE Q2C NAS up to 1.1.0210050. Affected is the function zfilev2_api.CloseSafe of the file /v2/file/safe/close of the component HTTP POST Request Handler. The manipulation of the argument safe_dir leads to command injection. The attack is possible to be carried out remotely. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure and confirmed the existence of the vulnerability. A technical fix is planned to be released.

Gravedad CVSS v4.0: ALTA

Última modificación:

16/12/2025

CVE-2025-13426

Fecha de publicación:

05/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability exists in Google Apigee&#39;s JavaCallout policy https://docs.apigee.com/api-platform/reference/policies/java-callout-policy that allows for remote code execution. It is possible for a user to write a JavaCallout that injected a malicious object into the MessageContext to execute arbitrary Java code and system commands at runtime, leading to unauthorized access to data, lateral movement within the network, and access to backend systems. The Apigee hybrid versions below have all been updated to protect from this vulnerability: * Hybrid_1.11.2+ * Hybrid_1.12.4+ * Hybrid_1.13.3+ * Hybrid_1.14.1+ * OPDK_5202+ * OPDK_5300+

Gravedad CVSS v4.0: ALTA

Última modificación:

08/12/2025

CVE-2025-8148

Fecha de publicación:

05/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** An Improper Access Control in the SFTP service in Fortra&#39;s GoAnywhere MFT prior to version 7.9.0 allows Web Users with an Authentication Alias and a valid SSH key but limited to Password authentication for SFTP to still login using their SSH key.

Gravedad CVSS v3.1: MEDIA

Última modificación:

30/01/2026

Vulnerabilidad en ZLT M30S de TOZED (CVE-2025-14105)

Fecha de publicación:

05/12/2025

Idioma:

Español

Se determinó una vulnerabilidad en TOZED ZLT M30S y ZLT M30S PRO 1.47/3.09.06. Esto afecta a una función desconocida del archivo /reqproc/proc_post del componente Interfaz Web. La ejecución de la manipulación del argumento goformId con la entrada REBOOT_DEVICE puede llevar a una denegación de servicio. El ataque solo puede realizarse dentro de la red local. El exploit ha sido divulgado públicamente y puede ser utilizado. Se contactó con el proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.

Gravedad CVSS v4.0: MEDIA

Última modificación:

08/12/2025

Vulnerabilidad en ArrayOS AG de Array Networks (CVE-2025-66644)

Fecha de publicación:

05/12/2025

Idioma:

Español

Array Networks ArrayOS AG anterior a 9.4.5.9 permite la inyección de comandos, tal como fue explotado en el mundo real entre agosto y diciembre de 2025.

Gravedad CVSS v3.1: ALTA

Última modificación:

10/12/2025

Vulnerabilidad en BACnet-stack (CVE-2025-66624)

Fecha de publicación:

05/12/2025

Idioma:

Español

La biblioteca de la pila de protocolos BACnet proporciona servicios de comunicación de capa de aplicación BACnet, capa de red y capa de acceso al medio (MAC). Versiones anteriores a 1.5.0.rc2, la función npdu_is_expected_reply en src/bacnet/npdu.c indexa request_pdu[offset+2/3/5] y reply_pdu[offset+1/2/4] sin verificar que esos bytes APDU existan. bacnet_npdu_decode() puede devolver offset == 2 para una NPDU de 2 bytes, por lo que las PDU pequeñas pasan la verificación de versión y luego se leen fuera de los límites. En compilaciones ASan/MPU/estrictas, esto es un fallo inmediato (DoS). En compilaciones desprotegidas, es un comportamiento indefinido y puede enrutar mal las respuestas; RCE es poco probable porque solo ocurren lecturas, pero DoS es fiable.

Gravedad CVSS v3.1: ALTA

Última modificación:

18/02/2026

Vulnerabilidad en cpp-httplib (CVE-2025-66577)

Fecha de publicación:

05/12/2025

Idioma:

Español

cpp-httplib es una biblioteca C++11 multiplataforma de un solo archivo de cabecera HTTP/HTTPS. En versiones anteriores a 0.27.0, una vulnerabilidad permite que encabezados HTTP controlados por el atacante influyan en los metadatos visibles para el servidor, el registro y las decisiones de autorización. Un atacante puede proporcionar encabezados X-Forwarded-For o X-Real-IP que son aceptados incondicionalmente por get_client_ip() en docker/main.cc, lo que provoca que los registros de acceso y error (nginx_access_logger / nginx_error_logger) registren IPs de cliente falsificadas (envenenamiento de registros / evasión de auditoría). Esta vulnerabilidad está corregida en 0.27.0.

Gravedad CVSS v3.1: MEDIA

Última modificación:

11/12/2025

CVE-2025-66623

Fecha de publicación:

05/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** Strimzi provides a way to run an Apache Kafka cluster on Kubernetes or OpenShift in various deployment configurations. From 0.47.0 and prior to 0.49.1, in some situations, Strimzi creates an incorrect Kubernetes Role which grants the Apache Kafka Connect and Apache Kafka MirrorMaker 2 operands the GET access to all Kubernetes Secrets that exist in the given Kubernetes namespace. The issue is fixed in Strimzi 0.49.1.

Gravedad CVSS v3.1: ALTA

Última modificación:

08/12/2025

Suscribirse a Vulnerabilidades