Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-12902
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Improper resource management in firmware of some Solidigm DC Products may allow an attacker with local or physical access to gain un-authorized access to a locked Storage Device or create a Denial of Service.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/11/2025

CVE-2025-12863
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE was assigned for a libxml2 issue#1012 but later deemed not valid. Ref.: https://gitlab.gnome.org/GNOME/libxml2/-/issues/1012#note_2608283
Gravedad CVSS v3.1: ALTA
Última modificación:
20/11/2025

CVE-2025-12875
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** A weakness has been identified in mruby 3.4.0. This vulnerability affects the function ary_fill_exec of the file mrbgems/mruby-array-ext/src/array.c. Executing manipulation of the argument start/length can lead to out-of-bounds write. The attack needs to be launched locally. The exploit has been made available to the public and could be exploited. This patch is called 93619f06dd378db6766666b30c08978311c7ec94. It is best practice to apply a patch to resolve this issue.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/12/2025

Vulnerabilidad en Sourcecodester FAQ Bot (CVE-2025-63639)
Fecha de publicación:
07/11/2025
Idioma:
Español
La función de chat en la aplicación Sourcecodester FAQ Bot con Asistente de IA v1.0 es vulnerable a Cross-Site Scripting (XSS) debido a un manejo inadecuado de la entrada proporcionada por el usuario. Un atacante puede inyectar HTML o JavaScript malicioso en los mensajes de chat, que se ejecuta en el navegador de cualquier usuario que vea la conversación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2025

Vulnerabilidad en Sourcecodester Medicine Reminder App (CVE-2025-63640)
Fecha de publicación:
07/11/2025
Idioma:
Español
Sourcecodester Medicine Reminder App v1.0 es vulnerable a Cross-Site Scripting (XSS) en los campos 'Medicine Name' y 'Notes (Optional)' al crear un 'Upcoming Reminder', permitiendo a un atacante inyectar código HTML/JavaScript arbitrario potencialmente malicioso que se ejecuta en el navegador de la víctima al hacer clic en el botón 'Save Reminder'.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2025

Vulnerabilidad en Sourcecodester AI-Powered To-Do List App (CVE-2025-63638)
Fecha de publicación:
07/11/2025
Idioma:
Español
Sourcecodester AI-Powered To-Do List App v1.0 es vulnerable a Cross-Site Scripting (XSS) en los campos 'Task Title' y 'Description (Optional)' al crear una tarea, permitiendo a un atacante inyectar código HTML/JavaScript arbitrario potencialmente malicioso que se ejecuta en el navegador de la víctima al hacer clic en el botón 'Add Task'.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2025

CVE-2025-10230
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in Samba, in the front-end WINS hook handling: NetBIOS names from registration packets are passed to a shell without proper validation or escaping. Unsanitized NetBIOS name data from WINS registration packets are inserted into a shell command and executed by the Samba Active Directory Domain Controller’s wins hook, allowing an unauthenticated network attacker to achieve remote command execution as the Samba process.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/12/2025

CVE-2025-7700
Fecha de publicación:
07/11/2025
Idioma:
Inglés
*** Pendiente de traducción *** A flaw was found in FFmpeg’s ALS audio decoder, where it does not properly check for memory allocation failures. This can cause the application to crash when processing certain malformed audio files. While it does not lead to data theft or system control, it can be used to disrupt services and cause a denial of service.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/11/2025

Vulnerabilidad en SourceCodester Pet Grooming Management Software (CVE-2025-63717)
Fecha de publicación:
07/11/2025
Idioma:
Español
La funcionalidad de cambio de contraseña en /pet_grooming/admin/change_pass.php en SourceCodester Pet Grooming Management Software 1.0 es vulnerable a ataques de falsificación de petición en sitios cruzados (CSRF). La aplicación no implementa tokens anti-CSRF adecuados o restricciones de cookie de mismo sitio, lo que permite a los atacantes engañar a usuarios autenticados para que cambien sus contraseñas sin saberlo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2025

Vulnerabilidad en Zitadel (CVE-2025-64431)
Fecha de publicación:
07/11/2025
Idioma:
Español
Zitadel es una plataforma de gestión de identidad de código abierto. Las versiones 4.0.0-rc.1 a la 4.6.2 son vulnerables a ataques de Referencia Directa a Objeto Insegura (IDOR) a través de su API V2Beta, permitiendo a usuarios autenticados con roles de administrador específicos dentro de una organización acceder y modificar datos pertenecientes a otras organizaciones. Tenga en cuenta que esta vulnerabilidad se limita a datos a nivel de organización (nombre, dominios, metadatos). Ningún otro dato relacionado (como usuarios, proyectos, aplicaciones, etc.) se ve afectado. Este problema se corrige en la versión 4.6.3.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/11/2025

Vulnerabilidad en KubeVirt (CVE-2025-64432)
Fecha de publicación:
07/11/2025
Idioma:
Español
KubeVirt es un complemento de gestión de máquinas virtuales para Kubernetes. Las versiones 1.5.3 e inferiores, y 1.6.0 contenían una implementación defectuosa del flujo de autenticación de la capa de agregación de Kubernetes que podría permitir la elusión de los controles RBAC. Se descubrió que el componente virt-API no logra autenticar correctamente al cliente al recibir solicitudes de API a través de mTLS. En particular, no logra validar el campo CN (Common Name) en los certificados TLS del cliente recibidos contra el conjunto de valores permitidos definidos en el configmap 'extension-apiserver-authentication'. La falta de validación de ciertos campos en el certificado TLS del cliente puede permitir a un atacante eludir los controles RBAC existentes al comunicarse directamente con el servidor API agregado, suplantando al servidor API de Kubernetes y su componente agregador. Este problema está corregido en las versiones 1.5.3 y 1.6.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2025

Vulnerabilidad en Ckeditor y Angular (CVE-2025-61261)
Fecha de publicación:
07/11/2025
Idioma:
Español
Una vulnerabilidad reflejada de cross-site scripting (XSS) en CKeditor v46.1.0 y Angular v18.0.0 permite a los atacantes ejecutar código arbitrario en el contexto del navegador de un usuario mediante la inyección de una carga útil manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/12/2025
Suscribirse a Vulnerabilidades