Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en grav de getgrav (CVE-2025-66310)
Fecha de publicación:
01/12/2025
Idioma:
Español
Este plugin de administración para Grav es una interfaz de usuario HTML que proporciona una forma conveniente de configurar Grav y crear y modificar páginas fácilmente. Versiones anteriores a 1.11.0-beta.1, se identificó una vulnerabilidad de Cross-Site Scripting Almacenado (XSS) en el endpoint /admin/pages/[page] de la aplicación Grav. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro data[header][template]. El script se guarda dentro del frontmatter de la página y se ejecuta automáticamente cada vez que el contenido afectado se renderiza en la interfaz administrativa o en la vista de frontend. Esta vulnerabilidad está corregida en 1.11.0-beta.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

CVE-2025-66312
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** This admin plugin for Grav is an HTML user interface that provides a convenient way to configure Grav and easily create and modify pages. Prior to 1.11.0-beta.1, a Stored Cross-Site Scripting (XSS) vulnerability was identified in the /admin/accounts/groups/Grupo endpoint of the Grav application. This vulnerability allows attackers to inject malicious scripts into the data[readableName] parameter. The injected scripts are stored on the server and executed automatically whenever the affected page is accessed by users, posing a significant security risk. This vulnerability is fixed in 1.11.0-beta.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

CVE-2025-66311
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** This admin plugin for Grav is an HTML user interface that provides a convenient way to configure Grav and easily create and modify pages. Prior to 1.11.0-beta.1, a Stored Cross-Site Scripting (XSS) vulnerability was identified in the /admin/pages/[page] endpoint of the Grav application. This vulnerability allows attackers to inject malicious scripts into the data[header][metadata], data[header][taxonomy][category], and data[header][taxonomy][tag] parameters. These scripts are stored in the page frontmatter and executed automatically whenever the affected page is accessed or rendered in the administrative interface. This vulnerability is fixed in 1.11.0-beta.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

Vulnerabilidad en grav de getgrav (CVE-2025-66305)
Fecha de publicación:
01/12/2025
Idioma:
Español
Grav es una plataforma web basada en archivos. Versiones anteriores a la 1.8.0-beta.27, se identificó una vulnerabilidad de denegación de servicio (DoS) en el submenú 'Idiomas' del panel de configuración de administración de Grav (/admin/config/system). Específicamente, el parámetro Supported no valida correctamente la entrada del usuario. Si se inserta un valor malformado —como una sola barra inclinada (/) o una cadena de prueba XSS—, provoca un error fatal de análisis de expresión regular en el servidor. Esto conduce a una falla en toda la aplicación debido al uso de la función preg_match() con una expresión regular construida incorrectamente, lo que resulta en un error. Una vez activado, el sitio queda completamente no disponible para todos los usuarios. Esta vulnerabilidad se corrige en la 1.8.0-beta.27.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

Vulnerabilidad en grav de getgrav (CVE-2025-66308)
Fecha de publicación:
01/12/2025
Idioma:
Español
Este plugin de administración para Grav es una interfaz de usuario HTML que proporciona una forma conveniente de configurar Grav y crear y modificar páginas fácilmente. Versiones anteriores a 1.11.0-beta.1, una vulnerabilidad de cross-site scripting (XSS) almacenado fue identificada en el endpoint /admin/config/site de la aplicación Grav. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro data[taxonomies]. La carga útil inyectada se almacena en el servidor y se ejecuta automáticamente en el navegador de cualquier usuario que acceda a la configuración del sitio afectada, lo que resulta en un vector de ataque persistente. Esta vulnerabilidad está corregida en 1.11.0-beta.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

Vulnerabilidad en grav de getgrav (CVE-2025-66309)
Fecha de publicación:
01/12/2025
Idioma:
Español
Este plugin de administración para Grav es una interfaz de usuario HTML que proporciona una forma conveniente de configurar Grav y crear y modificar páginas fácilmente. Versiones anteriores a 1.11.0-beta.1, se identificó una vulnerabilidad de cross-site scripting (XSS) reflejado en el endpoint /admin/pages/[page] de la aplicación Grav. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro data[header][content][items]. Esta vulnerabilidad está corregida en 1.11.0-beta.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

CVE-2025-66307
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** This admin plugin for Grav is an HTML user interface that provides a convenient way to configure Grav and easily create and modify pages. Prior to 1.11.0-beta.1, a user enumeration and email disclosure vulnerability exists in Grav. The "Forgot Password" functionality at /admin/forgot leaks information about valid usernames and their associated email addresses through distinct server responses. This allows an attacker to enumerate users and disclose sensitive email addresses, which can be leveraged for targeted attacks such as password spraying, phishing, or social engineering. This vulnerability is fixed in 1.11.0-beta.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/12/2025

CVE-2025-66306
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Grav is a file-based Web platform. Prior to 1.8.0-beta.27, there is an IDOR (Insecure Direct Object Reference) vulnerability in the Grav CMS Admin Panel which allows low-privilege users to access sensitive information from other accounts. Although direct account takeover is not possible, admin email addresses and other metadata can be exposed, increasing the risk of phishing, credential stuffing, and social engineering. This vulnerability is fixed in 1.8.0-beta.27.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/12/2025

CVE-2025-66304
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Grav is a file-based Web platform. Prior to 1.8.0-beta.27, users with read access on the user account management section of the admin panel can view the password hashes of all users, including the admin user. This exposure can potentially lead to privilege escalation if an attacker can crack these password hashes. This vulnerability is fixed in 1.8.0-beta.27.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/12/2025

CVE-2025-66299
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Grav is a file-based Web platform. Prior to 1.8.0-beta.27, Grav CMS is vulnerable to a Server-Side Template Injection (SSTI) that allows any authenticated user with editor permissions to execute arbitrary code on the remote server, bypassing the existing security sandbox. Since the security sandbox does not fully protect the Twig object, it is possible to interact with it (e.g., call methods, read/write attributes) through maliciously crafted Twig template directives injected into a web page. This allows an authenticated editor to add arbitrary functions to the Twig attribute system.twig.safe_filters, effectively bypassing the Grav CMS sandbox. This vulnerability is fixed in 1.8.0-beta.27.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2025

CVE-2025-66300
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Grav is a file-based Web platform. Prior to 1.8.0-beta.27, A low privilege user account with page editing privilege can read any server files using "Frontmatter" form. This includes Grav user account files (/grav/user/accounts/*.yaml), which store hashed user password, 2FA secret, and the password reset token. This can allow an adversary to compromise any registered account by resetting a password for a user to get access to the password reset token from the file or by cracking the hashed password. This vulnerability is fixed in 1.8.0-beta.27.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2025

CVE-2025-66301
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Grav is a file-based Web platform. Prior to 1.8.0-beta.27, due to improper authorization checks when modifying critical fields on a POST request to /admin/pages/{page_name}, an editor with only permissions to change basic content on the form is now able to change the functioning of the form through modifying the content of the data[_json][header][form] which is the YAML frontmatter which includes the process section which dictates what happens after a user submits the form which include some important actions that could lead to further vulnerabilities. This vulnerability is fixed in 1.8.0-beta.27.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/12/2025
Suscribirse a Vulnerabilidades