Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-60960
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** OS Command Injection vulnerability in EndRun Technologies Sonoma D12 Network Time Server (GPS) F/W 6010-0071-000 Ver 4.00 allows attackers to execute arbitrary code, cause a denial of service, gain escalated privileges, and gain sensitive information.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/10/2025

CVE-2025-60961
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Cross Site Scripting (XSS) vulnerability in EndRun Technologies Sonoma D12 Network Time Server (GPS) F/W 6010-0071-000 Ver 4.00 allows attackers to gain sensitive information, and possibly other unspecified impacts.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/10/2025

CVE-2025-60957
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** OS Command Injection vulnerability in EndRun Technologies Sonoma D12 Network Time Server (GPS) F/W 6010-0071-000 Ver 4.00 allows attackers to execute arbitrary code, cause a denial of service, gain escalated privileges, and gain sensitive information.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/10/2025

CVE-2025-60958
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Cross Site Scripting (XSS) vulnerability in EndRun Technologies Sonoma D12 Network Time Server (GPS) F/W 6010-0071-000 Ver 4.00 allows attackers to gain sensitive information.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/10/2025

CVE-2025-36356
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** IBM Security Verify Access and IBM Security Verify Access Docker 10.0.0.0 through 10.0.9.0 and 11.0.0.0 through 11.0.1.0 could allow a locally authenticated user to escalate their privileges to root due to execution with more privileges than required.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/12/2025

CVE-2025-36355
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** IBM Security Verify Access and IBM Security Verify Access Docker 10.0.0.0 through 10.0.9.0 and 11.0.0.0 through 11.0.1.0 <br /> <br /> could allow a locally authenticated user to execute malicious scripts from outside of its control sphere.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/12/2025

CVE-2025-36354
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** IBM Security Verify Access and IBM Security Verify Access Docker 10.0.0.0 through 10.0.9.0 and 11.0.0.0 through 11.0.1.0 <br /> <br /> <br /> <br /> could allow an unauthenticated user to execute arbitrary commands with lower user privileges on the system due to improper validation of user supplied input.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/12/2025

CVE-2025-57247
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** The BATBToken smart contract (address 0xfbf1388408670c02f0dbbb74251d8ded1d63b7a2, Compiler Version v0.8.26+commit.8a97fa7a) contains incorrect access control implementation in whitelist management functions. The setColdWhiteList() and setSpecialAddress() functions in the base ERC20 contract are declared as public without proper access control modifiers, allowing any user to bypass transfer restrictions and manipulate special address settings. This enables unauthorized users to circumvent cold time transfer restrictions and potentially disrupt dividend distribution mechanisms, leading to privilege escalation and violation of the contract&amp;#39;s intended tokenomics.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

CVE-2025-11341
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** A security flaw has been discovered in Jinher OA up to 2.0. This affects an unknown function of the file /c6/Jhsoft.Web.module/eformaspx/WebDesign.aspx/?type=SystemUserInfo&amp;style=1. Performing manipulation results in xml external entity reference. Remote exploitation of the attack is possible. The exploit has been released to the public and may be exploited.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/01/2026

CVE-2025-11339
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability has been found in D-Link DI-7100G C1 up to 20250928. This issue affects the function sub_4BD4F8 of the file /webchat/hi_block.asp of the component jhttpd. The manipulation of the argument popupId leads to buffer overflow. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/11/2025

CVE-2025-0038
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** In AMD Zynq UltraScale+ devices, the lack of address validation when executing CSU runtime services through the PMU Firmware can allow access to isolated or protected memory spaces resulting in the loss of integrity and confidentiality.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

CVE-2025-10363
Fecha de publicación:
06/10/2025
Idioma:
Inglés
*** Pendiente de traducción *** Deserialization of Untrusted Data vulnerability in Topal Solutions AG Topal Finanzbuchhaltung on Windows allows Remote Code Execution.This issue affects at least Topal Finanzbuchhaltung: 10.1.5.20 and is fixed in version 11.2.12.00
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades