Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Archives en Go library (CVE-2025-64346)
Fecha de publicación:
07/11/2025
Idioma:
Español
archives es una librería Go para extraer archivos (tar, zip, etc.). La versión 1.0.0 no evita que un usuario malintencionado alimente un archivo especialmente diseñado a la librería, causando RCE, modificación de archivos u otras malignidades en el contexto de los privilegios con los que el usuario esté ejecutando esta librería, a través del programa que la importa. La severidad depende de los permisos del usuario, el entorno y cómo se pasen los archivos arbitrarios. Este problema está solucionado en la versión 1.0.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

CVE-2025-64338
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** ClipBucket v5 is an open source video sharing platform. In versions 5.5.2 - #156 and below, an authenticated regular user can create a photo collection whose Collection Name contains HTML/JavaScript payloads, which making ClipBucket’s Manage Photos feature vulnerable to Stored XSS. The payload is rendered unsafely in the Admin → Manage Photos interface, causing it to execute in the administrator’s browser, therefore allowing an attacker to target administrators and perform actions with elevated privileges. This issue is fixed in version 5.5.2 - #157.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/12/2025

Vulnerabilidad en containerd (CVE-2025-64329)
Fecha de publicación:
07/11/2025
Idioma:
Español
containerd es un tiempo de ejecución de contenedores de código abierto. Las versiones 1.7.28 e inferiores, 2.0.0-beta.0 hasta 2.0.6, 2.1.0-beta.0 hasta 2.1.4, y 2.2.0-beta.0 hasta 2.2.0-rc.1 contienen un error en la implementación de CRI Attach donde un usuario puede agotar la memoria en el host debido a fugas de goroutines. Este problema está solucionado en las versiones 1.7.29, 2.0.7, 2.1.5 y 2.2.0. Como solución alternativa a esta vulnerabilidad, los usuarios pueden configurar un controlador de admisión para controlar los accesos a los recursos pods/attach.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/12/2025

Vulnerabilidad en ClipBucket (CVE-2025-64336)
Fecha de publicación:
07/11/2025
Idioma:
Español
ClipBucket v5 es una plataforma de código abierto para compartir videos. En las versiones 5.5.2-#146 e inferiores, la función "Manage Photos" es vulnerable a cross-site scripting (XSS) almacenado. Un usuario regular autenticado puede subir una foto con un Título de Foto malicioso que contenga código HTML/JavaScript. Aunque la carga útil no se ejecuta en la galería de fotos o en las páginas de detalles orientadas al usuario, se renderiza de forma insegura en la sección Admin ? Manage Photos, lo que resulta en la ejecución de JavaScript en el navegador del administrador. Este problema se corrige en la versión 5.5.2-#147.
Gravedad CVSS v4.0: ALTA
Última modificación:
05/12/2025

CVE-2025-4519
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** The IDonate – Blood Donation, Request And Donor Management System plugin for WordPress is vulnerable to Privilege Escalation due to a missing capability check on the idonate_donor_password() function in versions 2.1.5 to 2.1.9. This makes it possible for authenticated attackers, with Subscriber-level access and above, to initiate a password reset for any user (including administrators) and elevate their privileges for full site takeover.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/12/2025

CVE-2025-4522
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** The IDonate – Blood Donation, Request And Donor Management System plugin for WordPress is vulnerable to Insecure Direct Object Reference via the admin_post_donor_delete() function in versions 2.0.0 to 2.1.9. By supplying an arbitrary user_id parameter value to the wp_delete_user() function, authenticated attackers, with Subscriber-level access and above could delete arbitrary user accounts, including those of administrators.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2025

CVE-2025-12352
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** The Gravity Forms plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the copy_post_image() function in all versions up to, and including, 2.9.20. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible. This only impacts sites that have allow_url_fopen set to `On`, the post creation form enabled along with a file upload field for the post
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en OctoPrint (CVE-2025-64187)
Fecha de publicación:
07/11/2025
Idioma:
Español
OctoPrint proporciona una interfaz web para controlar impresoras 3D de consumo. Las versiones 1.11.3 e inferiores están afectadas por una vulnerabilidad que permite la inyección de HTML y JavaScript arbitrarios en las notificaciones de comandos de acción y las ventanas emergentes de avisos generadas por la impresora. Un atacante que convenza con éxito a una víctima para imprimir un archivo especialmente diseñado podría explotar este problema para interrumpir impresiones en curso, extraer información (incluida la configuración sensible, si el usuario objetivo tiene los permisos necesarios para ello) o realizar otras acciones en nombre del usuario objetivo dentro de la instancia de OctoPrint. Este problema está solucionado en la versión 1.11.4.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/12/2025

Vulnerabilidad en FreePBX Endpoint Manager (CVE-2025-64328)
Fecha de publicación:
07/11/2025
Idioma:
Español
FreePBX Endpoint Manager es un módulo para gestionar puntos finales de telefonía en sistemas FreePBX. En las versiones 17.0.2.36 y superiores anteriores a la 17.0.3, el módulo filestore dentro de la interfaz Administrativa es vulnerable a una inyección de comandos post-autenticación por un usuario conocido autenticado a través de la función testconnection -> check_ssh_connect(). Un atacante puede aprovechar esta vulnerabilidad para obtener acceso remoto al sistema como usuario asterisk. Este problema está solucionado en la versión 17.0.3.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en kgateway (CVE-2025-64323)
Fecha de publicación:
07/11/2025
Idioma:
Español
kgateway es un Gateway de API e IA nativo de la nube. Las versiones 2.0.4 e inferiores y de la 2.1.0-agw-cel-rbac a la 2.1.0-rc.2 carecen de autenticación, lo que permite a cualquier cliente con acceso de red sin restricciones al puerto xDS recuperar datos de configuración potencialmente sensibles, incluyendo datos de certificados, información de servicios de backend, reglas de enrutamiento y metadatos de clúster. Este problema se resuelve en las versiones 2.0.5 y 2.1.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

CVE-2025-5483
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** The LC Wizard plugin for WordPress is vulnerable to Privilege Escalation due to a missing capability check in the ghl-wizard/inc/wp_user.php file in versions 1.2.10 to 1.3.0. This makes it possible for unauthenticated attackers to create new user accounts with the administrator role when the PRO functionality is enabled.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Manager-io/Manager (CVE-2025-64180)
Fecha de publicación:
07/11/2025
Idioma:
Español
Manager-io/Manager es un software de contabilidad. En las versiones de Manager Desktop y Server 25.11.1.3085 e inferiores, una vulnerabilidad crítica permite el acceso no autorizado a recursos de red internos. El fallo reside en el diseño fundamental del mecanismo de validación DNS. Una condición Time-of-Check Time-of-Use (TOCTOU) que permite a los atacantes eludir el aislamiento de la red y acceder a servicios internos, endpoint de metadatos en la nube y segmentos de red protegidos. La edición Desktop no requiere autenticación; la edición Server solo requiere autenticación estándar. Este problema está solucionado en la versión 25.11.1.3086.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades