Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2025-42888
Fecha de publicación:
11/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** SAP GUI for Windows may allow a highly privileged user on the affected client PC to locally access sensitive information stored in process memory during runtime.This vulnerability has a high impact on confidentiality, with no impact on integrity and availability.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

CVE-2025-42889
Fecha de publicación:
11/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** SAP Starter Solution allows an authenticated attacker to execute crafted database queries, thereby exposing the back-end database. As a result, this vulnerability has a low impact on the application's confidentiality and integrity but no impact on its availability.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

CVE-2025-42890
Fecha de publicación:
11/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** SQL Anywhere Monitor (Non-GUI) baked credentials into the code,exposing the resources or functionality to unintended users and providing attackers with the possibility of arbitrary code execution.This could cause high impact on confidentiality integrity and availability of the system.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

CVE-2025-42882
Fecha de publicación:
11/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Due to a missing authorization check in SAP NetWeaver Application Server for ABAP, an authenticated attacker with basic privileges could execute a specific function module in ABAP to retrieve restricted technical information from the system. This disclosure of environment details of the system could further assist this attacker to plan subsequent attacks. As a result, this vulnerability has a low impact on confidentiality, with no impact on the integrity or availability of the application.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

CVE-2025-42883
Fecha de publicación:
11/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Migration Workbench (DX Workbench) in SAP NetWeaver Application Server for ABAP fails to trigger a malware scan when an attacker with administrative privileges uploads files to the application server. An attacker could leverage this and upload a malicious file into the system. This results in a low impact on the integrity of the application.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

CVE-2025-42884
Fecha de publicación:
11/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** SAP NetWeaver Enterprise Portal allows an unauthenticated attacker to inject JNDI environment properties or pass a URL used during JNDI lookup operations, enabling access to an unintended JNDI provider.�This could further lead to disclosure or modification of information about the server. There is no impact on availability.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

CVE-2025-31719
Fecha de publicación:
11/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** In TEE EcDSA algorithm, there is a possible memory consistency issue. This could lead to generated incorrect signature results with low probability.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en WriteRelationships en SpiceDB (CVE-2025-64529)
Fecha de publicación:
10/11/2025
Idioma:
Español
SpiceDB es un sistema de base de datos de código abierto para crear y gestionar permisos de aplicación críticos para la seguridad. En versiones anteriores a la 1.45.2, los usuarios que utilizan el operador de exclusión en alguna parte de su esquema de autorización; han configurado su servidor SpiceDB de tal manera que '--write-relationships-max-updates-per-call' es mayor que 6500; y emiten llamadas a WriteRelationships con un número suficientemente grande de actualizaciones que hacen que la carga útil sea mayor de lo que permite su almacén de datos; recibirán una respuesta exitosa de su llamada a 'WriteRelationships', cuando en realidad esa llamada falló, y recibirán resultados incorrectos de la verificación de permisos, si esas relaciones tuvieron que ser leídas para resolver la relación que involucra la exclusión. La versión 1.45.2 contiene un parche para el problema. Como solución alternativa, establezca '--write-relationships-max-updates-per-call' en '1000'.
Gravedad CVSS v4.0: BAJA
Última modificación:
21/11/2025

CVE-2025-12542
Fecha de publicación:
10/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
10/11/2025

Vulnerabilidad en Soft Serve (CVE-2025-64522)
Fecha de publicación:
10/11/2025
Idioma:
Español
Soft Serve es un servidor Git autoalojable para la línea de comandos. Las versiones anteriores a la 0.11.1 tienen una vulnerabilidad SSRF donde las URL de los webhooks no son validadas, permitiendo a los administradores del repositorio crear webhooks que apunten a servicios internos, redes privadas y puntos finales de metadatos en la nube. La versión 0.11.1 corrige la vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/12/2025

Vulnerabilidad en TorrentPier (CVE-2025-64519)
Fecha de publicación:
10/11/2025
Idioma:
Español
TorrentPier es un motor de tracker BitTorrent Público/Privado de código abierto, escrito en PHP. En versiones hasta la 2.8.8 inclusive, existe una vulnerabilidad de inyección SQL autenticada en el panel de control del moderador ('modcp.php'). Los usuarios con permisos de moderador pueden explotar esta vulnerabilidad suministrando un parámetro 'topic_id' ('t') malicioso. Esto permite a un moderador autenticado ejecutar consultas SQL arbitrarias, lo que lleva a la posible divulgación, modificación o eliminación de cualquier dato en la base de datos. Aunque requiere privilegios de moderador, sigue siendo grave. Una cuenta de moderador maliciosa o comprometida puede aprovechar esta vulnerabilidad para leer, modificar o eliminar datos. Un parche está disponible en el commit 6a0f6499d89fa5d6e2afa8ee53802a1ad11ece80.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2025

CVE-2025-63678
Fecha de publicación:
10/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** An authenticated arbitrary file upload vulnerability in the /uploads/ endpoint of CMS Made Simple Foundation File Manager v2.2.22 allows attackers with Administrator privileges to execute arbitrary code via uploading a crafted PHP file.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/12/2025
Suscribirse a Vulnerabilidades