Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en cpp-httplib (CVE-2025-66577)
Fecha de publicación:
05/12/2025
Idioma:
Español
cpp-httplib es una biblioteca C++11 multiplataforma de un solo archivo de cabecera HTTP/HTTPS. En versiones anteriores a 0.27.0, una vulnerabilidad permite que encabezados HTTP controlados por el atacante influyan en los metadatos visibles para el servidor, el registro y las decisiones de autorización. Un atacante puede proporcionar encabezados X-Forwarded-For o X-Real-IP que son aceptados incondicionalmente por get_client_ip() en docker/main.cc, lo que provoca que los registros de acceso y error (nginx_access_logger / nginx_error_logger) registren IPs de cliente falsificadas (envenenamiento de registros / evasión de auditoría). Esta vulnerabilidad está corregida en 0.27.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/12/2025

CVE-2025-66623
Fecha de publicación:
05/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Strimzi provides a way to run an Apache Kafka cluster on Kubernetes or OpenShift in various deployment configurations. From 0.47.0 and prior to 0.49.1, in some situations, Strimzi creates an incorrect Kubernetes Role which grants the Apache Kafka Connect and Apache Kafka MirrorMaker 2 operands the GET access to all Kubernetes Secrets that exist in the given Kubernetes namespace. The issue is fixed in Strimzi 0.49.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/12/2025

CVE-2025-66581
Fecha de publicación:
05/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Frappe Learning Management System (LMS) is a learning system that helps users structure their content. Prior to 2.41.0, a flaw in the server-side authorization logic allowed authenticated users to perform actions beyond their assigned roles across multiple features. Because the affected endpoints relied on client-side or UI-level checks instead of enforcing permissions on the server, users with low-privileged roles (such as students) could perform operations intended only for instructors or administrators via directly using the API's. This vulnerability is fixed in 2.41.0.
Gravedad CVSS v4.0: BAJA
Última modificación:
11/12/2025

Vulnerabilidad en cpp-httplib (CVE-2025-66570)
Fecha de publicación:
05/12/2025
Idioma:
Español
cpp-httplib es una biblioteca HTTP/HTTPS multiplataforma de un solo archivo de cabecera única para C++11. Versiones anteriores a 0.27.0, una vulnerabilidad permite que los encabezados HTTP controlados por el atacante influyan en los metadatos visibles para el servidor, el registro y las decisiones de autorización. Un atacante puede inyectar encabezados llamados REMOTE_ADDR, REMOTE_PORT, LOCAL_ADDR, LOCAL_PORT que se analizan en el multimapa de encabezados de solicitud a través de read_headers() en httplib.h (headers.emplace), luego el servidor posteriormente añade sus propios metadatos internos usando los mismos nombres de encabezado en Server::process_request sin borrar duplicados. Debido a que Request::get_header_value devuelve la primera entrada para una clave de encabezado (id == 0) y los encabezados proporcionados por el cliente se analizan antes que los encabezados insertados por el servidor, el código descendente que utiliza estos nombres de encabezado puede usar inadvertidamente valores controlados por el atacante. Archivos/ubicaciones afectados: cpp-httplib/httplib.h (read_headers, Server::process_request, Request::get_header_value, get_header_value_u64) y cpp-httplib/docker/main.cc (get_client_ip, nginx_access_logger, nginx_error_logger). Superficie de ataque: los encabezados HTTP controlados por el atacante en las solicitudes entrantes fluyen hacia el multimapa Request.headers y hacia el código de registro que lee los encabezados reenviados, lo que permite la suplantación de IP, el envenenamiento de registros y la omisión de autorización a través del sombreado de encabezados. Esta vulnerabilidad se corrige en 0.27.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/12/2025

Vulnerabilidad en CloudBoost Virtual Appliance (CVE-2025-46603)
Fecha de publicación:
05/12/2025
Idioma:
Español
Dell CloudBoost Virtual Appliance, versiones 19.13.0.0 y anteriores, contiene una vulnerabilidad de Restricción Inadecuada de Intentos Excesivos de Autenticación. Un atacante no autenticado con acceso remoto podría potencialmente explotar esta vulnerabilidad, lo que llevaría a un acceso no autorizado.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/01/2026

CVE-2025-66562
Fecha de publicación:
05/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** TUUI is a desktop MCP client designed as a tool unitary utility integration. Prior to 1.3.4, a critical Remote Code Execution (RCE) vulnerability exists in Tuui due to an unsafe Cross-Site Scripting (XSS) flaw in the Markdown rendering component. Tuui allows the execution of arbitrary JavaScript within ECharts code blocks. Combined with an exposed IPC interface that allows spawning processes, an attacker can execute arbitrary system commands on the victim's machine simply by having them view a malicious Markdown message. This vulnerability is fixed in 1.3.4.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/12/2025

CVE-2025-66566
Fecha de publicación:
05/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** yawkat LZ4 Java provides LZ4 compression for Java. Insufficient clearing of the output buffer in Java-based decompressor implementations in lz4-java 1.10.0 and earlier allows remote attackers to read previous buffer contents via crafted compressed input. In applications where the output buffer is reused without being cleared, this may lead to disclosure of sensitive data. JNI-based implementations are not affected. This vulnerability is fixed in 1.10.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
08/12/2025

CVE-2025-66558
Fecha de publicación:
05/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Nextcloud Twofactor WebAuthn is the WebAuthn Two-Factor Provider for Nextcloud. Prior to 1.4.2 and 2.4.1, a missing ownership check allowed an attack to take-away a 2FA webauthn device when correctly guessing a 80-128 character long random string of letters, numbers and symbols. The victim would then be prompted to register a new device on the next login. The attacker can not authenticate as the victim. This vulnerability is fixed in 1.4.2 and 2.4.1.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/12/2025

CVE-2025-66557
Fecha de publicación:
05/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Nextcloud Deck is a kanban style organization tool aimed at personal planning and project organization for teams integrated with Nextcloud. Prior to 1.14.6 and 1.15.2, a bug in the permission logic allowed users with "Can share" permission to modify the permissions of other recipients. This vulnerability is fixed in 1.14.6 and 1.15.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/12/2025

CVE-2025-66556
Fecha de publicación:
05/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Nextcloud talk is a video & audio conferencing app for Nextcloud. Prior to 20.1.8 and 21.1.2, a participant with chat permissions was able to delete poll drafts of other participants within the conversation based on their numeric ID. This vulnerability is fixed in 20.1.8 and 21.1.2.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/12/2025

CVE-2025-66554
Fecha de publicación:
05/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Contacts app for Nextcloud easily syncs contacts from various devices with your Nextcloud and allows editing. Prior to 5.5.4, 6.0.6, and 7.2.5, a malicious user was able to modify their organisation and title field to load additional CSS files. Javascript and other options were correctly blocked by the content security policy of the Nextcloud Server code. This vulnerability is fixed in 5.5.4, 6.0.6, and 7.2.5.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/12/2025

CVE-2025-66553
Fecha de publicación:
05/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Nextcloud Tables allows you to create your own tables with individual columns. Prior to 0.8.7 and 0.9.4, authenticated users were able to view meta data of columns in other tables of the Tables app by modifying the numeric ID in a request. This vulnerability is fixed in 0.8.7 and 0.9.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/12/2025
Suscribirse a Vulnerabilidades