Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-5483
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** The LC Wizard plugin for WordPress is vulnerable to Privilege Escalation due to a missing capability check in the ghl-wizard/inc/wp_user.php file in versions 1.2.10 to 1.3.0. This makes it possible for unauthenticated attackers to create new user accounts with the administrator role when the PRO functionality is enabled.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/11/2025

Vulnerabilidad en Manager-io/Manager (CVE-2025-64180)
Fecha de publicación:
07/11/2025
Idioma:
Español
Manager-io/Manager es un software de contabilidad. En las versiones de Manager Desktop y Server 25.11.1.3085 e inferiores, una vulnerabilidad crítica permite el acceso no autorizado a recursos de red internos. El fallo reside en el diseño fundamental del mecanismo de validación DNS. Una condición Time-of-Check Time-of-Use (TOCTOU) que permite a los atacantes eludir el aislamiento de la red y acceder a servicios internos, endpoint de metadatos en la nube y segmentos de red protegidos. La edición Desktop no requiere autenticación; la edición Server solo requiere autenticación estándar. Este problema está solucionado en la versión 25.11.1.3086.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/11/2025

Vulnerabilidad en Dosage (CVE-2025-64184)
Fecha de publicación:
07/11/2025
Idioma:
Español
Dosage es un programa para descargar y archivar. Cuando descarga imágenes de cómics en las versiones 3.1 e inferiores, Dosage construye los nombres de archivo de destino a partir de diferentes aspectos del cómic remoto (URL de la página, URL de la imagen, contenido de la página, etc.). Aunque el nombre base se limpia correctamente de caracteres de recorrido de directorio, la extensión del archivo se toma del encabezado HTTP Content-Type. Esto permite a un atacante remoto (o a un Man-in-the-Middle, si el cómic se sirve a través de HTTP) escribir archivos arbitrarios fuera del directorio de destino (si se cumplen condiciones adicionales). Este problema se corrige en la versión 3.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/11/2025

CVE-2025-11546
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** CLUSTERPRO X for Linux 4.0, 4.1, 4.2, 5.0, 5.1 and 5.2 and EXPRESSCLUSTER X for Linux 4.0, 4.1, 4.2, 5.0, 5.1 and 5.2, CLUSTERPRO X SingleServerSafe for Linux 4.0, 4.1, 4.2, 5.0, 5.1 and 5.2, EXPRESSCLUSTER X SingleServerSafe for Linux 4.0, 4.1, 4.2, 5.0, 5.1 and 5.2 allows an attacker sends specially crafted network packets to the product, arbitrary OS commands may be executed without authentication.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/11/2025

CVE-2025-52662
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability in Nuxt DevTools has been fixed in version **2.6.4***. This issue may have allowed Nuxt auth token extraction via XSS under certain configurations. All users are encouraged to upgrade.<br /> <br /> More details: https://vercel.com/changelog/cve-2025-52662-xss-on-nuxt-devtools
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2026

CVE-2025-48985
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability in Vercel’s AI SDK has been fixed in versions 5.0.52, 5.1.0-beta.9, and 6.0.0-beta. This issue may have allowed users to bypass filetype whitelists when uploading files. All users are encouraged to upgrade.<br /> <br /> More details: https://vercel.com/changelog/cve-2025-48985-input-validation-bypass-on-ai-sdk
Gravedad CVSS v3.1: BAJA
Última modificación:
04/02/2026

CVE-2025-12789
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in Red Hat Single Sign-On. This issue is an Open Redirect vulnerability that occurs during the logout process. The redirect_uri parameter associated with the openid-connect logout protocol does not properly validate the provided URL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/11/2025

Vulnerabilidad en CSAF (CVE-2025-64302)
Fecha de publicación:
06/11/2025
Idioma:
Español
Sanitizatión insuficiente de la entrada en la etiqueta o ruta del panel de control puede permitir a un atacante desencadenar un error en el dispositivo, causando revelación de información o manipulación de datos.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/11/2025

CVE-2025-59171
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Due to insufficient sanitization, an attacker can upload a specially <br /> crafted configuration file to traverse directories and achieve remote <br /> code execution with system-level permissions.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/11/2025

CVE-2025-62630
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Due to insufficient sanitization, an attacker can upload a specially <br /> crafted configuration file to traverse directories and achieve remote <br /> code execution with system-level permissions.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/11/2025

CVE-2025-58423
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Due to insufficient sanitization, an attacker can upload a specially <br /> crafted configuration file to cause a denial-of-service condition, <br /> traverse directories, or read/write files, within the context of the <br /> local system account.
Gravedad CVSS v4.0: ALTA
Última modificación:
21/11/2025

CVE-2025-12636
Fecha de publicación:
06/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** The Ubia camera ecosystem fails to adequately secure API credentials, <br /> potentially enabling an attacker to connect to backend services. The <br /> attacker would then be able to gain unauthorized access to available <br /> cameras, enabling the viewing of live feeds or modification of settings.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/11/2025
Suscribirse a Vulnerabilidades