Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2026-32885

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** DDEV is an open-source tool for running local web development environments for PHP and Node.js. Versions prior to 1.25.2 have unsanitized extraction in both `Untar()` and `Unzip()` functions in `pkg/archive/archive.go`. Downloads and extracts archives from remote sources without path validation. Version 1.25.2 patches the issue.

Gravedad CVSS v3.1: MEDIA

Última modificación:

11/05/2026

CVE-2025-3922

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** GitLab has remediated an issue in GitLab CE/EE affecting all versions from 12.4 before 18.9.6, 18.10 before 18.10.4, and 18.11 before 18.11.1 that could have allowed an authenticated user to cause denial of service by overwhelming system resources under certain conditions due to insufficient resource allocation limits in the GraphQL API.

Gravedad CVSS v3.1: MEDIA

Última modificación:

23/04/2026

CVE-2025-6016

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** GitLab has remediated an issue in GitLab CE/EE affecting all versions from 9.2 before 18.9.6, 18.10 before 18.10.4, and 18.11 before 18.11.1 that could have allowed an authenticated user to cause denial of service due to insufficient resource allocation limits when retrieving notes under certain conditions.

Gravedad CVSS v3.1: MEDIA

Última modificación:

23/04/2026

CVE-2025-9957

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** GitLab has remediated an issue in GitLab CE/EE affecting all versions from 11.2 before 18.9.6, 18.10 before 18.10.4, and 18.11 before 18.11.1 that under certain conditions could have allowed an authenticated user with project owner permissions to bypass group fork prevention settings due to improper authorization checks.

Gravedad CVSS v3.1: BAJA

Última modificación:

23/04/2026

CVE-2026-1660

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** GitLab has remediated an issue in GitLab CE/EE affecting all versions from 12.3 before 18.9.6, 18.10 before 18.10.4, and 18.11 before 18.11.1 that under certain conditions could have allowed an authenticated user to cause denial of service when importing issues due to improper input validation.

Gravedad CVSS v3.1: MEDIA

Última modificación:

23/04/2026

CVE-2025-0186

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** GitLab has remediated an issue in GitLab CE/EE affecting all versions from 10.6 before 18.9.6, 18.10 before 18.10.4, and 18.11 before 18.11.1 that could have allowed an authenticated user to cause denial of service under certain conditions by exhausting server resources by making crafted requests to a discussions endpoint.

Gravedad CVSS v3.1: MEDIA

Última modificación:

23/04/2026

CVE-2026-30139

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** A reflected cross-site scripting (XSS) vulnerability in the AdvancedSearch functionality of Silverpeas Core before version 6.4.6 allows attackers to execute arbitrary JavaScript in the context of a user&#39;s browser via crafted input.

Gravedad CVSS v3.1: MEDIA

Última modificación:

22/04/2026

CVE-2025-58922

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) vulnerability in ThemeFusion Avada allows Cross Site Request Forgery.This issue affects Avada: from n/a before 7.13.2.

Gravedad CVSS v3.1: MEDIA

Última modificación:

22/04/2026

CVE-2018-25272

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** ELBA5 5.8.0 contains a remote code execution vulnerability that allows attackers to obtain database credentials and execute arbitrary commands with SYSTEM level permissions. Attackers can connect to the database using default connector credentials, decrypt the DBA password, and execute commands via the xp_cmdshell stored procedure or add backdoor users to the BEDIENER table.

Gravedad CVSS v4.0: CRÍTICA

Última modificación:

29/04/2026

CVE-2024-58344

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** Carbon Forum 5.9.0 contains a persistent cross-site scripting vulnerability that allows authenticated administrators to inject malicious JavaScript code through the Forum Name field in dashboard settings. Attackers with admin privileges can store JavaScript payloads in the Forum Name field that execute in the browsers of all users visiting the forum, enabling session hijacking and data theft.

Gravedad CVSS v4.0: MEDIA

Última modificación:

22/04/2026

CVE-2018-25266

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** Angry IP Scanner 3.5.3 contains a buffer overflow vulnerability in the preferences dialog that allows local attackers to crash the application by supplying an excessively large string. Attackers can generate a file containing a massive buffer of repeated characters and paste it into the unavailable value field in the display preferences to trigger a denial of service.

Gravedad CVSS v4.0: MEDIA

Última modificación:

27/04/2026

CVE-2018-25267

Fecha de publicación:

22/04/2026

Idioma:

Inglés

*** Pendiente de traducción *** UltraISO 9.7.1.3519 contains a local buffer overflow vulnerability in the Output FileName field of the Make CD/DVD Image dialog that allows attackers to overwrite SEH and SE handler records. Attackers can craft a malicious filename string with 304 bytes of data followed by SEH record overwrite values and paste it into the Output FileName field to trigger a denial of service crash.

Gravedad CVSS v4.0: MEDIA

Última modificación:

29/04/2026

Suscribirse a Vulnerabilidades