Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-24833
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Stored cross-site scripting (XSS) vulnerability in desknet's NEO versions V4.0R1.0–V9.0R2.0 allow execution of arbitrary JavaScript in a user’s web browser.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/10/2025

CVE-2025-58075
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 10.11.x
Gravedad CVSS v3.1: ALTA
Última modificación:
21/10/2025

CVE-2025-58115
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** ChatLuck contains a cross-site scripting vulnerability in Guest User Sign-up. If exploited, an arbitrary script may be executed on the web browser of the user who is accessing the product.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/10/2025

CVE-2025-61581
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** ** UNSUPPORTED WHEN ASSIGNED ** Inefficient Regular Expression Complexity vulnerability in Apache Traffic Control.<br /> <br /> This issue affects Apache Traffic Control: all versions.<br /> <br /> People with access to the management interface of the Traffic Router component could specify malicious patterns and cause unavailability.<br /> <br /> As this project is retired, we do not plan to release a version that fixes this issue. Users are recommended to find an alternative or restrict access to the instance to trusted users.<br /> <br /> NOTE: This vulnerability only affects products that are no longer supported by the maintainer.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

CVE-2025-58073
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 10.11.x
Gravedad CVSS v3.1: ALTA
Última modificación:
21/10/2025

CVE-2025-53858
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** ChatLuck contains a cross-site scripting vulnerability in Chat Rooms. If exploited, an arbitrary script may be executed on the web browser of the user who is accessing the product.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/10/2025

CVE-2025-54461
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** ChatLuck contains an insufficient granularity of access control vulnerability in Invitation of Guest Users. If exploited, an uninvited guest user may register itself as a guest user.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/10/2025

CVE-2025-54499
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 10.5.x
Gravedad CVSS v3.1: BAJA
Última modificación:
21/10/2025

CVE-2025-54539
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** A Deserialization of Untrusted Data vulnerability exists in the Apache ActiveMQ NMS AMQP Client.<br /> <br /> This issue affects all versions of Apache ActiveMQ NMS AMQP up to and including 2.3.0, when establishing connections to untrusted AMQP servers. Malicious servers could exploit unbounded deserialization logic present in the client to craft responses that may lead to arbitrary code execution on the client side.<br /> <br /> Although version 2.1.0 introduced a mechanism to restrict deserialization via allow/deny lists, the protection was found to be bypassable under certain conditions.<br /> <br /> In line with Microsoft’s deprecation of binary serialization in .NET 9, the project is evaluating the removal of .NET binary serialization support from the NMS API entirely in future releases.<br /> <br /> Mitigation and Recommendations:<br /> Users are strongly encouraged to upgrade to version 2.4.0 or later, which resolves the issue. Additionally, projects depending on NMS-AMQP should migrate away from .NET binary serialization as part of a long-term hardening strategy.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/11/2025

CVE-2025-10545
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 10.5.x
Gravedad CVSS v3.1: BAJA
Última modificación:
21/10/2025

CVE-2025-41410
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 10.10.x
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/10/2025

CVE-2025-0277
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** HCL BigFix Mobile 3.3 and earlier are vulnerable to certain insecure directives within the Content Security Policy (CSP). An attacker could trick users into performing actions by not properly restricting the sources of scripts and other content.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/10/2025
Suscribirse a Vulnerabilidades