Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2019-25258
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** LogicalDOC Enterprise 7.7.4 contains multiple post-authentication file disclosure vulnerabilities that allow attackers to read arbitrary files through unverified 'suffix' and 'fileVersion' parameters. Attackers can exploit directory traversal techniques in /thumbnail and /convertpdf endpoints to access sensitive system files like win.ini and /etc/passwd by manipulating path traversal sequences.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/12/2025

CVE-2019-25248
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Beward N100 M2.1.6.04C014 contains an unauthenticated vulnerability that allows remote attackers to access live video streams without credentials. Attackers can directly retrieve the camera's RTSP stream by exploiting the lack of authentication in the video access mechanism.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/12/2025

CVE-2019-25249
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** devolo dLAN 500 AV Wireless+ 3.1.0-1 contains an authentication bypass vulnerability that allows attackers to enable hidden services through the htmlmgr CGI script. Attackers can enable telnet and remote shell services, reboot the device, and gain root access without a password by manipulating system configuration parameters.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/12/2025

CVE-2019-25250
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Devolo dLAN 500 AV Wireless+ 3.1.0-1 contains a cross-site request forgery vulnerability that allows attackers to perform administrative actions without proper request validation. Attackers can craft malicious web pages that trigger unauthorized configuration changes by exploiting predictable URL actions when a logged-in user visits the site.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/12/2025

CVE-2019-25251
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Teradek VidiU Pro 3.0.3 contains a server-side request forgery vulnerability in the management interface that allows attackers to manipulate GET parameters 'url' and 'xml_url'. Attackers can exploit this flaw to bypass firewalls, initiate network enumeration, and potentially trigger external HTTP requests to arbitrary destinations.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/12/2025

CVE-2019-25252
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Teradek VidiU Pro 3.0.3 contains a cross-site request forgery vulnerability that allows attackers to change administrative passwords without proper request validation. Attackers can craft malicious web pages that automatically submit password change requests to the device when a logged-in administrator visits the page.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/12/2025

CVE-2019-25253
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** KYOCERA Net Admin 3.4.0906 contains an XML External Entity (XXE) injection vulnerability in the Multi-Set Template Editor that allows unauthenticated attackers to read arbitrary system files. Attackers can craft a malicious XML file with external entity references to retrieve sensitive configuration data like database credentials through an out-of-band channel attack.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/12/2025

CVE-2019-25242
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** FaceSentry Access Control System 6.4.8 contains a cross-site request forgery vulnerability that allows attackers to perform administrative actions without user consent. Attackers can craft malicious web pages to change administrator passwords, add new admin users, or open access control doors by tricking authenticated users into loading a specially crafted webpage.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/12/2025

CVE-2019-25243
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** FaceSentry 6.4.8 contains an authenticated remote command injection vulnerability in pingTest.php and tcpPortTest.php scripts. Attackers can exploit unsanitized input parameters to inject and execute arbitrary shell commands with root privileges by manipulating the 'strInIP' and 'strInPort' parameters.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/12/2025

CVE-2019-25244
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Legrand BTicino Driver Manager F454 1.0.51 contains multiple web vulnerabilities that allow attackers to perform administrative actions without proper request validation. Attackers can exploit cross-site request forgery to change passwords and inject stored cross-site scripting payloads through unvalidated GET parameters.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/12/2025

CVE-2019-25245
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Ross Video DashBoard 8.5.1 contains an elevation of privileges vulnerability that allows authenticated users to modify executable files due to improper permission settings. Attackers can exploit the 'M' or 'C' flags for 'Authenticated Users' group to replace the DashBoard.exe binary with a malicious executable.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/12/2025

CVE-2019-25246
Fecha de publicación:
24/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Beward N100 H.264 VGA IP Camera M2.1.6 contains an authenticated file disclosure vulnerability that allows attackers to read arbitrary system files via the 'READ.filePath' parameter. Attackers can exploit the fileread script or SendCGICMD API to access sensitive files like /etc/passwd and /etc/issue by supplying absolute file paths.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/12/2025
Suscribirse a Vulnerabilidades