Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2025-11210
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Side-channel information leakage in Tab in Google Chrome prior to 141.0.7390.54 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium)
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/11/2025

CVE-2025-11209
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Inappropriate implementation in Omnibox in Google Chrome on Android prior to 141.0.7390.54 allowed a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. (Chromium security severity: Medium)
Gravedad CVSS v3.1: ALTA
Última modificación:
13/11/2025

CVE-2025-11208
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Inappropriate implementation in Media in Google Chrome prior to 141.0.7390.54 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium)
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/11/2025

CVE-2025-11207
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Side-channel information leakage in Storage in Google Chrome prior to 141.0.7390.54 allowed a remote attacker to perform arbitrary read/write via a crafted HTML page. (Chromium security severity: Medium)
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/11/2025

CVE-2025-11206
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Heap buffer overflow in Video in Google Chrome prior to 141.0.7390.54 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: High)
Gravedad CVSS v3.1: ALTA
Última modificación:
13/11/2025

CVE-2025-11205
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Heap buffer overflow in WebGPU in Google Chrome prior to 141.0.7390.54 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High)
Gravedad CVSS v3.1: ALTA
Última modificación:
13/11/2025

CVE-2024-12125
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in the 3scale Developer Portal. When creating or updating an account in the Developer Portal UI it is possible to modify fields explicitly configured as read-only or hidden, allowing an attacker to modify restricted information.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en ThinkDashboard (CVE-2025-64327)
Fecha de publicación:
06/11/2025
Idioma:
Español
ThinkDashboard es un panel de marcadores autoalojado construido con Go y JavaScript puro. Las versiones 0.6.7 e inferiores contienen una vulnerabilidad de Blind Server-Side Request Forgery (SSRF), en su '/api/ping?url= endpoint'. Esto permite a un atacante realizar peticiones arbitrarias a hosts internos o externos. Esto puede incluir el descubrimiento de puertos abiertos en la máquina local, hosts en la red local y puertos abiertos en los hosts de la red interna. Este problema está solucionado en la versión 0.6.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2025

Vulnerabilidad en Magento-lts (CVE-2025-64174)
Fecha de publicación:
06/11/2025
Idioma:
Español
Magento-lts es una alternativa de soporte a largo plazo a Magento Community Edition (CE). Las versiones 20.15.0 e inferiores están afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que podría ser explotada por un administrador con acceso directo a la base de datos o la fuente del feed de notificaciones del administrador para inyectar scripts maliciosos en campos vulnerables. Cadenas de traducción y URLs sin escapar se imprimen en contextos dentro de app/code/core/Mage/Adminhtml/Block/Notification/Grid/Renderer/Actions.php. Una traducción maliciosa o datos contaminados pueden inyectar scripts. Este problema está solucionado en la versión 20.16.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/02/2026

Vulnerabilidad en Weblate (CVE-2025-64326)
Fecha de publicación:
06/11/2025
Idioma:
Español
Weblate es una herramienta de localización basada en web. En las versiones 5.14 e inferiores, Weblate filtra la dirección IP del miembro del proyecto que invita al usuario al proyecto en el registro de auditoría. El registro de auditoría incluye direcciones IP de acciones iniciadas por administradores, que pueden ser vistas por los usuarios invitados. Este problema está solucionado en la versión 5.14.1.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/12/2025

Vulnerabilidad en Apollo Router Core (CVE-2025-64173)
Fecha de publicación:
06/11/2025
Idioma:
Español
Apollo Router Core es un router de grafos configurable escrito en Rust para ejecutar un supergrafo federado usando Apollo Federation 2. En versiones anteriores a la 1.61.11, así como de la 2.0.0-alpha.0 a la 2.8.1-rc.0, una vulnerabilidad permitía que consultas no autenticadas accedieran a datos que requerían controles de acceso adicionales. El router manejaba incorrectamente las directivas de control de acceso en tipos/campos de interfaz y sus tipos/campos de objeto implementadores, aplicándolas a los tipos/campos de interfaz mientras ignoraba las directivas en sus tipos/campos de objeto implementadores cuando todas las implementaciones tenían los mismos requisitos. Los clientes de Apollo Router que definen directivas @authenticated, @requiresScopes o @policy de manera inconsistente en tipos polimórficos (es decir, tipos de objeto que implementan tipos de interfaz) se ven afectados. Este problema está solucionado en las versiones 1.61.12 y 2.8.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

CVE-2025-33110
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** IBM OpenPages 9.1, and 9.0 with Watson is vulnerable to HTML injection. A remote attacker could inject malicious HTML code, which when viewed, would be executed in the victim's Web browser within the security context of the hosting site.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/11/2025
Suscribirse a Vulnerabilidades