Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-42882
Fecha de publicación:
11/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Due to a missing authorization check in SAP NetWeaver Application Server for ABAP, an authenticated attacker with basic privileges could execute a specific function module in ABAP to retrieve restricted technical information from the system. This disclosure of environment details of the system could further assist this attacker to plan subsequent attacks. As a result, this vulnerability has a low impact on confidentiality, with no impact on the integrity or availability of the application.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/11/2025

CVE-2025-42883
Fecha de publicación:
11/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Migration Workbench (DX Workbench) in SAP NetWeaver Application Server for ABAP fails to trigger a malware scan when an attacker with administrative privileges uploads files to the application server. An attacker could leverage this and upload a malicious file into the system. This results in a low impact on the integrity of the application.
Gravedad CVSS v3.1: BAJA
Última modificación:
12/11/2025

CVE-2025-42884
Fecha de publicación:
11/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** SAP NetWeaver Enterprise Portal allows an unauthenticated attacker to inject JNDI environment properties or pass a URL used during JNDI lookup operations, enabling access to an unintended JNDI provider.�This could further lead to disclosure or modification of information about the server. There is no impact on availability.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/11/2025

CVE-2025-31719
Fecha de publicación:
11/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** In TEE EcDSA algorithm, there is a possible memory consistency issue. This could lead to generated incorrect signature results with low probability.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/11/2025

Vulnerabilidad en WriteRelationships en SpiceDB (CVE-2025-64529)
Fecha de publicación:
10/11/2025
Idioma:
Español
SpiceDB es un sistema de base de datos de código abierto para crear y gestionar permisos de aplicación críticos para la seguridad. En versiones anteriores a la 1.45.2, los usuarios que utilizan el operador de exclusión en alguna parte de su esquema de autorización; han configurado su servidor SpiceDB de tal manera que '--write-relationships-max-updates-per-call' es mayor que 6500; y emiten llamadas a WriteRelationships con un número suficientemente grande de actualizaciones que hacen que la carga útil sea mayor de lo que permite su almacén de datos; recibirán una respuesta exitosa de su llamada a 'WriteRelationships', cuando en realidad esa llamada falló, y recibirán resultados incorrectos de la verificación de permisos, si esas relaciones tuvieron que ser leídas para resolver la relación que involucra la exclusión. La versión 1.45.2 contiene un parche para el problema. Como solución alternativa, establezca '--write-relationships-max-updates-per-call' en '1000'.
Gravedad CVSS v4.0: BAJA
Última modificación:
21/11/2025

CVE-2025-12542
Fecha de publicación:
10/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
10/11/2025

CVE-2025-63678
Fecha de publicación:
10/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** An authenticated arbitrary file upload vulnerability in the /uploads/ endpoint of CMS Made Simple Foundation File Manager v2.2.22 allows attackers with Administrator privileges to execute arbitrary code via uploading a crafted PHP file.
Gravedad CVSS v3.1: BAJA
Última modificación:
12/11/2025

CVE-2025-11578
Fecha de publicación:
10/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** A privilege escalation vulnerability was identified in GitHub Enterprise Server that allowed an authenticated Enterprise admin to gain root SSH access to the appliance by exploiting a symlink escape in pre-receive hook environments. By crafting a malicious repository and environment, an attacker could replace system binaries during hook cleanup and execute a payload that adds their own SSH key to the root user’s authorized keys—thereby granting themselves root SSH access to the server. To exploit this vulnerability, the attacker needed to have enterprise admin privileges. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.19, and was fixed in versions 3.14.19, 3.15.14, 3.16.10, 3.17.7 and 3.18.1. This vulnerability was reported via the GitHub Bug Bounty program.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/11/2025

CVE-2025-11892
Fecha de publicación:
10/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** An improper neutralization of input vulnerability was identified in GitHub Enterprise Server that allows DOM-based cross-site scripting via Issues search label filter that could lead to privilege escalation and unauthorized workflow triggers. Successful exploitation requires an attacker to have access to the target GitHub Enterprise Server instance and to entice a user, while operating in sudo mode, to click on a crafted malicious link to perform actions that require elevated privileges. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.18.1, 3.17.7, 3.16.10, 3.15.14, 3.14.19.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/11/2025

Vulnerabilidad en TorrentPier (CVE-2025-64519)
Fecha de publicación:
10/11/2025
Idioma:
Español
TorrentPier es un motor de tracker BitTorrent Público/Privado de código abierto, escrito en PHP. En versiones hasta e incluyendo 2.8.8, existe una vulnerabilidad de inyección SQL autenticada en el panel de control del moderador ('modcp.php'). Los usuarios con permisos de moderador pueden explotar esta vulnerabilidad suministrando un parámetro 'topic_id' ('t') malicioso. Esto permite a un moderador autenticado ejecutar consultas SQL arbitrarias, lo que lleva a la posible divulgación, modificación o eliminación de cualquier dato en la base de datos. Aunque requiere privilegios de moderador, sigue siendo grave. Una cuenta de moderador maliciosa o comprometida puede aprovechar esta vulnerabilidad para leer, modificar o eliminar datos. Un parche está disponible en el commit 6a0f6499d89fa5d6e2afa8ee53802a1ad11ece80.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/11/2025

Vulnerabilidad en Soft Serve (CVE-2025-64522)
Fecha de publicación:
10/11/2025
Idioma:
Español
Soft Serve es un servidor Git autoalojable para la línea de comandos. Las versiones anteriores a la 0.11.1 tienen una vulnerabilidad SSRF donde las URL de los webhooks no son validadas, permitiendo a los administradores del repositorio crear webhooks que apunten a servicios internos, redes privadas y puntos finales de metadatos en la nube. La versión 0.11.1 corrige la vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/11/2025

CVE-2021-4462
Fecha de publicación:
10/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Employee Records System version 1.0 contains an unrestricted file upload vulnerability that allows a remote unauthenticated attacker to upload arbitrary files via the uploadID.php endpoint; uploaded files can be executed because the application does not perform proper server-side validation. Exploitation evidence was observed by the Shadowserver Foundation on 2025-02-06 UTC.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/11/2025
Suscribirse a Vulnerabilidades