Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-9846
Fecha de publicación:
23/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Unrestricted Upload of File with Dangerous Type vulnerability in TalentSys Consulting Information Technology Industry Inc. Inka.Net allows Command Injection.This issue affects Inka.Net: before 6.7.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/09/2025

CVE-2025-10184
Fecha de publicación:
23/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** The vulnerability allows any application installed on the device to read SMS/MMS data and metadata from the system-provided Telephony provider without permission, user interaction, or consent. The user is also not notified that SMS data is being accessed. This could lead to sensitive information disclosure and could effectively break the security provided by SMS-based Multi-Factor Authentication (MFA) checks. <br /> <br /> The root cause is a combination of missing permissions for write operations in several content providers (com.android.providers.telephony.PushMessageProvider, com.android.providers.telephony.PushShopProvider, com.android.providers.telephony.ServiceNumberProvider), and a blind SQL injection in the update method of those providers.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/09/2025

CVE-2025-9964
Fecha de publicación:
23/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** No password for the root user is set in Novakon P series. This allows phyiscal attackers to enter the console easily. <br /> This issue affects P series: P – V2001.A.C518o2.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/11/2025

CVE-2025-9966
Fecha de publicación:
23/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Improper privilege management vulnerability in Novakon P series allows attackers to gain root privileges if one service is compromized.This issue affects P series: P – V2001.A.C518o2.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en novakon p series (CVE-2025-9963)
Fecha de publicación:
23/09/2025
Idioma:
Español
Una vulnerabilidad de salto de ruta en la serie P de Novakon permite exponer el sistema de archivos raíz &amp;#39;/&amp;#39; y modificar todos los archivos con permisos de root. De esta manera, el sistema también puede verse comprometido. Este problema afecta a la serie P: P – V2001.A.C518o2.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/11/2025

Vulnerabilidad en novakon p series (CVE-2025-9965)
Fecha de publicación:
23/09/2025
Idioma:
Español
Vulnerabilidad de autenticación impropia en la serie P de Novakon permite a atacantes no autenticados cargar y descargar cualquier aplicación desde/hacia el dispositivo. Este problema afecta a la serie P: P – V2001.A.C518o2.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/11/2025

CVE-2025-10244
Fecha de publicación:
23/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** A maliciously crafted HTML payload, when rendered by the Autodesk Fusion desktop application, can trigger a Stored Cross-site Scripting (XSS) vulnerability. A malicious actor may leverage this vulnerability to read local files or execute arbitrary code in the context of the current process.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/12/2025

CVE-2025-9962
Fecha de publicación:
23/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** A buffer overflow vulnerability in Novakon P series allows attackers to gain root permission without prior authentication.This issue affects P series: P – V2001.A.C518o2.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/11/2025

CVE-2024-4598
Fecha de publicación:
23/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** An information disclosure vulnerability exists in multiple WSO2 products due to improper implementation of the enrich mediator. Authenticated users may be able to view unintended business data from other mediation contexts because the internal state is not properly isolated or cleared between executions.<br /> <br /> This vulnerability does not impact user credentials or access tokens but may lead to leakage of sensitive business information handled during message flows.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2026

CVE-2025-9342
Fecha de publicación:
23/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Authorization Bypass Through User-Controlled Key vulnerability in Anadolu Hayat Emeklilik Inc. AHE Mobile allows Privilege Abuse.This issue affects AHE Mobile: from 1.9.7 before 1.9.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2025

CVE-2025-10412
Fecha de publicación:
23/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** The Product Options and Price Calculation Formulas for WooCommerce – Uni CPO (Premium) plugin for WordPress is vulnerable to arbitrary file uploads due to misconfigured file type validation in the &amp;#39;uni_cpo_upload_file&amp;#39; function in all versions up to, and including, 4.9.54. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site&amp;#39;s server which may make remote code execution possible.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/09/2025

CVE-2025-7106
Fecha de publicación:
23/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** danny-avila/librechat is affected by an authorization bypass vulnerability due to improper access control checks. The `checkAccess` function in `api/server/middleware/roles/access.js` uses `permissions.some()` to validate permissions, which incorrectly grants access if only one of multiple required permissions is present. This allows users with the &amp;#39;USER&amp;#39; role to create agents despite having `CREATE: false` permission, as the check for `[&amp;#39;USE&amp;#39;, &amp;#39;CREATE&amp;#39;]` passes with just `USE: true`. This vulnerability affects other permission checks as well, such as `PROMPTS`. The issue is present in all versions prior to the fix.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2025
Suscribirse a Vulnerabilidades