Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2025-15449

Fecha de publicación:

05/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was determined in cld378632668 JavaMall up to 994f1e2b019378ec9444cdf3fce2d5b5f72d28f0. Affected is the function delete of the file src/main/java/com/macro/mall/controller/MinioController.java. This manipulation of the argument objectName causes path traversal. The attack can be initiated remotely. Continious delivery with rolling releases is used by this product. Therefore, no version details of affected nor updated releases are available. The vendor was contacted early about this disclosure but did not respond in any way.

Gravedad CVSS v4.0: MEDIA

Última modificación:

08/03/2026

CVE-2025-15448

Fecha de publicación:

05/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was found in cld378632668 JavaMall up to 994f1e2b019378ec9444cdf3fce2d5b5f72d28f0. This impacts the function Upload of the file src/main/java/com/macro/mall/controller/MinioController.java. The manipulation results in unrestricted upload. It is possible to launch the attack remotely. This product takes the approach of rolling releases to provide continious delivery. Therefore, version details for affected and updated releases are not available. The vendor was contacted early about this disclosure but did not respond in any way.

Gravedad CVSS v4.0: MEDIA

Última modificación:

08/03/2026

CVE-2025-15447

Fecha de publicación:

05/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: The vendor mentioned in the original disclosure filed a report that this issue affects a different vendor. The researcher was not able to provide a proof for his disputed claim which is why the CNA decided to revoke the whole entry.

Gravedad CVSS v4.0: MEDIA

Última modificación:

02/02/2026

CVE-2025-15446

Fecha de publicación:

04/01/2026

Idioma:

Inglés

Gravedad CVSS v4.0: MEDIA

Última modificación:

02/02/2026

Vulnerabilidad en code-projects Online Product Reservation System (CVE-2026-0579)

Fecha de publicación:

04/01/2026

Idioma:

Español

Una vulnerabilidad fue encontrada en code-projects Online Product Reservation System 1.0. Esto afecta una parte desconocida del archivo /handgunner-administrator/edit.php del componente POST Parameter Handler. La manipulación del argumento prod_id/name/price/model/serial resulta en inyección SQL. El ataque puede ser lanzado remotamente. El exploit ha sido hecho público y podría ser usado.

Gravedad CVSS v4.0: MEDIA

Última modificación:

29/04/2026

CVE-2025-15443

Fecha de publicación:

04/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was identified in CRMEB up to 5.6.1. This issue affects some unknown processing of the file /adminapi/product/product_export. Such manipulation of the argument cate_id leads to sql injection. The attack may be launched remotely. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.

Gravedad CVSS v4.0: BAJA

Última modificación:

29/04/2026

CVE-2026-0578

Fecha de publicación:

04/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability has been found in code-projects Online Product Reservation System 1.0. Affected by this issue is some unknown functionality of the file /handgunner-administrator/delete.php. The manipulation of the argument ID leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.

Gravedad CVSS v4.0: MEDIA

Última modificación:

29/04/2026

CVE-2025-15442

Fecha de publicación:

04/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability was determined in CRMEB up to 5.6.1. This vulnerability affects unknown code of the file /adminapi/export/product_list. This manipulation of the argument cate_id causes sql injection. The attack may be initiated remotely. The exploit has been publicly disclosed and may be utilized. The vendor was contacted early about this disclosure but did not respond in any way.

Gravedad CVSS v4.0: BAJA

Última modificación:

29/04/2026

Vulnerabilidad en code-projects Online Product Reservation System (CVE-2026-0577)

Fecha de publicación:

04/01/2026

Idioma:

Español

Se ha encontrado una falla en code-projects Online Product Reservation System 1.0. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /handgunner-administrator/prod.PHP. La ejecución de manipulación puede llevar a una carga sin restricciones. Es posible lanzar el ataque remotamente. El exploit ha sido publicado y puede ser usado.

Gravedad CVSS v4.0: BAJA

Última modificación:

29/04/2026

CVE-2025-14830

Fecha de publicación:

04/01/2026

Idioma:

Inglés

*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (XSS or &#39;Cross-site Scripting&#39;) vulnerability in JFrog Artifactory (Workers) allows Cross-Site Scripting (XSS).This issue affects Artifactory (Workers): from >=7.94.0 through

Gravedad CVSS v3.1: MEDIA

Última modificación:

15/04/2026

Vulnerabilidad en code-projects Online Product Reservation System (CVE-2026-0576)

Fecha de publicación:

04/01/2026

Idioma:

Español

Una vulnerabilidad fue detectada en code-projects Online Product Reservation System 1.0. Afecta a una función desconocida del archivo /handgunner-administrator/prod.php del componente Parameter Handler. La manipulación del argumento cat/price/name/model/serial resulta en inyección SQL. Es posible iniciar el ataque de forma remota. El exploit es ahora público y puede ser utilizado.

Gravedad CVSS v4.0: MEDIA

Última modificación:

29/04/2026

Vulnerabilidad en code-projects Online Product Reservation System (CVE-2026-0575)

Fecha de publicación:

04/01/2026

Idioma:

Español

Una vulnerabilidad de seguridad ha sido detectada en code-projects Online Product Reservation System 1.0. Esto afecta una función desconocida del archivo /handgunner-administrator/adminlogin.php del componente Administrator Login. Dicha manipulación del argumento emailadd/pass conduce a inyección SQL. El ataque puede ser realizado desde remoto. El exploit ha sido divulgado públicamente y puede ser utilizado.

Gravedad CVSS v4.0: MEDIA

Última modificación:

29/04/2026

Suscribirse a Vulnerabilidades