Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-62415
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Bagisto is an open source laravel eCommerce platform. In Bagisto v2.3.7, the TinyMCE image upload functionality allows an attacker with sufficient privileges (e.g. admin) to upload a crafted HTML file containing embedded JavaScript. When viewed, the malicious code executes in the context of the admin/user’s browser. This vulnerability is fixed in 2.3.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/10/2025

CVE-2025-62416
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Bagisto is an open source laravel eCommerce platform. Bagisto v2.3.7 is vulnerable to Server-Side Template Injection (SSTI) due to unsanitized user input being processed by the server-side templating engine when rendering product descriptions. This allows an attacker with product creation privileges to inject arbitrary template expressions that are evaluated by the backend — potentially leading to Remote Code Execution (RCE) on the server. This vulnerability is fixed in 2.3.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/10/2025

CVE-2025-62417
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Bagisto is an open source laravel eCommerce platform. When product data that begins with a spreadsheet formula character (for example =, +, -, or @) is accepted and later exported or saved into a CSV and opened in spreadsheet software, the spreadsheet will interpret that cell as a formula. This allows an attacker to supply a CSV field (e.g., product name) that contains a formula which may be evaluated by a victim’s spreadsheet application — potentially leading to data exfiltration and remote command execution (via older Excel exploits / OLE/cmd constructs or Excel macros). This vulnerability is fixed in 2.3.8.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/10/2025

CVE-2025-62418
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Bagisto is an open source laravel eCommerce platform. In Bagisto v2.3.7, the TinyMCE image upload functionality allows an attacker with sufficient privileges (e.g. admin) to upload a crafted SVG file containing embedded JavaScript. When viewed, the malicious code executes in the context of the admin/user’s browser. This vulnerability is fixed in 2.3.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/10/2025

CVE-2025-62423
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** ClipBucket V5 provides open source video hosting with PHP. In version5.5.2 - #140 and earlier, a Blind SQL injection vulnerability exists in the Admin Area’s “/admin_area/login_as_user.php” file. Exploiting this vulnerability requires access privileges to the Admin Area.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/11/2025

CVE-2025-60855
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Reolink Video Doorbell WiFi DB_566128M5MP_W performs insufficient validation of firmware update signatures. This allows attackers to load malicious firmware images, resulting in arbitrary code execution with root privileges. NOTE: this is disputed by the Supplier because the integrity of updates is instead assured via a "private encryption algorithm" and other "tamper-proof verification."
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

CVE-2025-61514
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** An arbitrary file upload vulnerability in SageMath, Inc CoCalc before commit 0d2ff58 allows attackers to execute arbitrary code via uploading a crafted SVG file.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

CVE-2025-61553
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** An out-of-bounds write in VirtIO network device emulation in BitVisor from commit 108df6 (2020-05-20) to commit 480907 (2025-07-06) allows local attackers to cause a denial of service (host hypervisor crash) via a crafted PCI configuration space access. Given it's a heap overflow in a privileged hypervisor context, exploitation may enable arbitrary code execution or guest-to-host privilege escalation.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

CVE-2025-11493
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** The ConnectWise Automate Agent does not fully verify the authenticity of files downloaded from the server, such as updates, dependencies, and integrations. This creates a risk where an on-path attacker could perform a man-in-the-middle attack and substitute malicious files for legitimate ones by impersonating a legitimate server. This risk is mitigated when HTTPS is enforced and is related to CVE-2025-11492.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/10/2025

CVE-2025-34255
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** D-Link Nuclias Connect firmware versions
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/10/2025

CVE-2025-34254
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** D-Link Nuclias Connect firmware versions
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/10/2025

CVE-2025-34253
Fecha de publicación:
16/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** D-Link Nuclias Connect firmware versions
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/10/2025
Suscribirse a Vulnerabilidades