Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-66516
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Critical XXE in Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) and tika-parsers (1.13-1.28.5) modules on all platforms allows an attacker to carry out XML External Entity injection via a crafted XFA file inside of a PDF. <br /> <br /> This CVE covers the same vulnerability as in CVE-2025-54988. However, this CVE expands the scope of affected packages in two ways. <br /> <br /> First, while the entrypoint for the vulnerability was the tika-parser-pdf-module as reported in CVE-2025-54988, the vulnerability and its fix were in tika-core. Users who upgraded the tika-parser-pdf-module but did not upgrade tika-core to &gt;= 3.2.2 would still be vulnerable. <br /> <br /> Second, the original report failed to mention that in the 1.x Tika releases, the PDFParser was in the "org.apache.tika:tika-parsers" module.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
04/12/2025

CVE-2025-63364
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Waveshare RS232/485 TO WIFI ETH (B) Serial to Ethernet/Wi-Fi Gateway Firmware V3.1.1.0: HW 4.3.2.1: Webpage V7.04T.07.002880.0301 was discovered to transmit Administrator credentials in plaintext.
Gravedad: Pendiente de análisis
Última modificación:
04/12/2025

CVE-2025-66287
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in WebKitGTK. Processing malicious web content can cause an unexpected process crash due to improper memory handling.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/12/2025

CVE-2025-66373
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Akamai Ghost on Akamai CDN edge servers before 2025-11-17 has a chunked request body processing error that can result in HTTP request smuggling. When Akamai Ghost receives an invalid chunked body that includes a chunk size different from the actual size of the following chunk data, under certain circumstances, Akamai Ghost erroneously forwards the invalid request and subsequent superfluous bytes to the origin server. An attacker could hide a smuggled request in these superfluous bytes. Whether this is exploitable depends on the origin server&amp;#39;s behavior and how it processes the invalid request it receives from Akamai Ghost.
Gravedad: Pendiente de análisis
Última modificación:
04/12/2025

CVE-2025-8074
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Origin validation error vulnerability in BeeDrive in Synology BeeDrive for desktop before 1.4.3-13973 allows local users to write arbitrary files with non-sensitive information via unspecified vectors.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2025

CVE-2025-61148
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** An Insecure Direct Object Reference (IDOR) vulnerability in the EduplusCampus 3.0.1 Student Payment API allows authenticated users to access other students personal and financial records by modifying the &amp;#39;rec_no&amp;#39; parameter in the /student/get-receipt endpoint.
Gravedad: Pendiente de análisis
Última modificación:
04/12/2025

CVE-2025-63681
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** open-webui v0.6.33 is vulnerable to Incorrect Access Control. The API /api/tasks/stop/ directly accesses and cancels tasks without verifying user ownership, enabling attackers (a normal user) to stop arbitrary LLM response tasks.
Gravedad: Pendiente de análisis
Última modificación:
04/12/2025

CVE-2025-65516
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** A stored cross-site scripting (XSS) vulnerability was discovered in Seafile Community Edition prior to version 13.0.12. When Seafile is configured with the Golang file server, an attacker can upload a crafted SVG file containing malicious JavaScript and share it using a public link. Opening the link triggers script execution in the victim&amp;#39;s browser. This issue has been fixed in Seafile Community Edition 13.0.12.
Gravedad: Pendiente de análisis
Última modificación:
04/12/2025

CVE-2025-54159
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Missing authorization vulnerability in BeeDrive in Synology BeeDrive for desktop before 1.4.2-13960 allows remote attackers to delete arbitrary files via unspecified vectors.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/12/2025

CVE-2025-54160
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Improper limitation of a pathname to a restricted directory (&amp;#39;Path Traversal&amp;#39;) vulnerability in BeeDrive in Synology BeeDrive for desktop before 1.4.2-13960 allows local users to execute arbitrary code via unspecified vectors.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/12/2025

CVE-2025-56427
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Directory Traversal vulnerability in ComposioHQ v.0.7.20 allows a remote attacker to obtain sensitive information via the _download_file_or_dir function.
Gravedad: Pendiente de análisis
Última modificación:
04/12/2025

CVE-2025-57210
Fecha de publicación:
04/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Incorrect access control in the component ApiPayController.java of platform v1.0.0 allows attackers to access sensitive information via unspecified vectors.
Gravedad: Pendiente de análisis
Última modificación:
04/12/2025
Suscribirse a Vulnerabilidades