Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2020-36870
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Various Ruijie Gateway EG and NBR models firmware versions 11.1(6)B9P1
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
20/11/2025

Vulnerabilidad en Datasette (CVE-2025-64481)
Fecha de publicación:
07/11/2025
Idioma:
Español
Datasette es una multiherramienta de código abierto para explorar y publicar datos. En las versiones 0.65.1 e inferiores y de la 1.0a0 a la 1.0a19, las instancias desplegadas de Datasette incluyen una vulnerabilidad de redirección abierta. Las solicitudes a la ruta //example.com/foo/bar/ (la barra final es obligatoria) redirigirán al usuario a HTTPS://example.com/foo/bar. Este problema ha sido parcheado tanto en Datasette 0.65.2 como en 1.0a21. Para aplicar una solución alternativa a este problema, si Datasette se está ejecutando detrás de un proxy, ese proxy podría configurarse para reemplazar // por / en las URL de las solicitudes entrantes.
Gravedad: Pendiente de análisis
Última modificación:
12/11/2025

CVE-2025-63544
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** TechStore 1.0 is vulnerable to Cross Site Scripting (XSS) in /order_notes via the id parameter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2025

Vulnerabilidad en TechStore (CVE-2025-63543)
Fecha de publicación:
07/11/2025
Idioma:
Español
TechStore 1.0 es vulnerable a Cross Site Scripting (XSS) en el endpoint /search_results a través del parámetro q.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2025

Vulnerabilidad en LangGraph SQLite Checkpoint (CVE-2025-64439)
Fecha de publicación:
07/11/2025
Idioma:
Español
LangGraph SQLite Checkpoint es una implementación de LangGraph CheckpointSaver que utiliza una base de datos SQLite (tanto síncrona como asíncrona, a través de aiosqlite). En las versiones 2.1.2 e inferiores, el JsonPlusSerializer (utilizado como el protocolo de serialización predeterminado para todo el proceso de checkpointing) contiene una vulnerabilidad de ejecución remota de código (RCE) al deserializar cargas útiles guardadas en el modo de serialización "json". Por defecto, el serializador intenta usar "msgpack" para la serialización. Sin embargo, antes de la versión 3.0 de la librería del checkpointer, si valores sustitutos Unicode ilegales causaban que la serialización fallara, recurriría al uso del modo "json". Este problema está solucionado en la versión 3.0.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/11/2025

Vulnerabilidad en HumHub (CVE-2025-64442)
Fecha de publicación:
07/11/2025
Idioma:
Español
HumHub es una Red Social Empresarial de Código Abierto. Las versiones anteriores a la 1.17.4 tienen una vulnerabilidad XSS en la función de Meta-Búsqueda que permite que una entrada maliciosa se ejecute en las vistas previas de búsqueda. Este problema está solucionado en la versión 1.17.4.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/11/2025

CVE-2025-12896
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Improper resource management in firmware of some Solidigm DC Products may allow an attacker with local or physical access to gain un-authorized access to a locked storage device.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/11/2025

CVE-2025-12902
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Improper resource management in firmware of some Solidigm DC Products may allow an attacker with local or physical access to gain un-authorized access to a locked Storage Device or create a Denial of Service.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/11/2025

CVE-2025-12875
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** A weakness has been identified in mruby 3.4.0. This vulnerability affects the function ary_fill_exec of the file mrbgems/mruby-array-ext/src/array.c. Executing manipulation of the argument start/length can lead to out-of-bounds write. The attack needs to be launched locally. The exploit has been made available to the public and could be exploited. This patch is called 93619f06dd378db6766666b30c08978311c7ec94. It is best practice to apply a patch to resolve this issue.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/11/2025

CVE-2025-12863
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE was assigned for a libxml2 issue#1012 but later deemed not valid. Ref.: https://gitlab.gnome.org/GNOME/libxml2/-/issues/1012#note_2608283
Gravedad CVSS v3.1: ALTA
Última modificación:
20/11/2025

CVE-2025-63640
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Sourcecodester Medicine Reminder App v1.0 is vulnerable to Cross-Site Scripting (XSS) in the "Medicine Name" and "Notes (Optional)" fields when creating an "Upcoming Reminder", allowing an attacker to inject arbitrary potentially malicious HTML/JavaScript code that executes in the victim's browser upon clicking the "Save Reminder" button.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2025

Vulnerabilidad en Sourcecodester FAQ Bot (CVE-2025-63639)
Fecha de publicación:
07/11/2025
Idioma:
Español
La función de chat en la aplicación Sourcecodester FAQ Bot con Asistente de IA v1.0 es vulnerable a Cross-Site Scripting (XSS) debido a un manejo inadecuado de la entrada proporcionada por el usuario. Un atacante puede inyectar HTML o JavaScript malicioso en los mensajes de chat, que se ejecuta en el navegador de cualquier usuario que vea la conversación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2025
Suscribirse a Vulnerabilidades