Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2026-24665
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Open eClass platform (formerly known as GUnet eClass) is a complete course management system. Prior to version 4.2, a stored Cross-Site Scripting (XSS) vulnerability allows authenticated students to inject malicious JavaScript into uploaded assignment files, which is executed when instructors view the submission. This issue has been patched in version 4.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2026

CVE-2026-24664
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** The Open eClass platform (formerly known as GUnet eClass) is a complete course management system. Prior to version 4.2, a username enumeration vulnerability allows unauthenticated attackers to identify valid user accounts by analyzing differences in the login response behavior. This issue has been patched in version 4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

CVE-2025-71179
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Creativeitem Academy LMS 7.0 contains reflected Cross-Site Scripting (XSS) vulnerabilities via the search parameter to the /academy/blogs endpoint, and the string parameter to the /academy/course_bundles/search/query endpoint. These vulnerabilities are distinct from the patch for CVE-2023-4119, which only fixed XSS in query and sort_by parameters to the /academy/home/courses endpoint.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2026

CVE-2025-70849
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Arbitrary File Upload in podinfo thru 6.9.0 allows unauthenticated attackers to upload arbitrary files via crafted POST request to the /store endpoint. The application renders uploaded content without a restrictive Content-Security-Policy (CSP) or adequate Content-Type validation, leading to Stored Cross-Site Scripting (XSS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2026

CVE-2025-70841
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Dokans Multi-Tenancy Based eCommerce Platform SaaS 3.9.2 allows unauthenticated remote attackers to obtain sensitive application configuration data via direct request to /script/.env file. The exposed file contains Laravel application encryption key (APP_KEY), database credentials, SMTP/SendGrid API credentials, and internal configuration parameters, enabling complete system compromise including authentication bypass via session token forgery, direct database access to all tenant data, and email infrastructure takeover. Due to the multi-tenancy architecture, this vulnerability affects all tenants in the system.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/02/2026

CVE-2025-70758
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** chetans9 core-php-admin-panel through commit a94a780d6 contains an authentication bypass vulnerability in includes/auth_validate.php. The application sends an HTTP redirect via header(Location:login.php) when a user is not authenticated but fails to call exit() afterward. This allows remote unauthenticated attackers to access protected pages.customer database.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2026

CVE-2025-69970
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** FUXA v1.2.7 contains an insecure default configuration vulnerability in server/settings.default.js. The 'secureEnabled' flag is commented out by default, causing the application to initialize with authentication disabled. This allows unauthenticated remote attackers to access sensitive API endpoints, modify projects, and control industrial equipment immediately after installation.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/02/2026

CVE-2025-69971
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** FUXA v1.2.7 contains a hard-coded credential vulnerability in server/api/jwt-helper.js. The application uses a hard-coded secret key to sign and verify JWT Tokens. This allows remote attackers to forge valid admin tokens and bypass authentication to gain full administrative access.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/02/2026

CVE-2025-70560
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Boltz 2.0.0 contains an insecure deserialization vulnerability in its molecule loading functionality. The application uses Python pickle to deserialize molecule data files without validation. An attacker with the ability to place a malicious pickle file in a directory processed by boltz can achieve arbitrary code execution when the file is loaded.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2026

CVE-2025-69875
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability exists in Quick Heal Total Security 23.0.0 in the quarantine management component where insufficient validation of restore paths and improper permission handling allow a low-privileged local user to restore quarantined files into protected system directories. This behavior can be abused by a local attacker to place files in high-privilege locations, potentially leading to privilege escalation.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2026

CVE-2025-69848
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** NetBox is an open-source infrastructure resource modeling and IP address management platform. A reflected cross-site scripting (XSS) vulnerability exists in versions 2.11.0 through 3.7.x in the ProtectedError handling logic, where object names are included in HTML error messages without proper escaping. This allows user-controlled content to be rendered in the web interface when a delete operation fails due to protected relationships, potentially enabling execution of arbitrary client-side code in the context of a privileged user.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2026

CVE-2025-69981
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** FUXA v1.2.7 contains an Unrestricted File Upload vulnerability in the `/api/upload` API endpoint. The endpoint lacks authentication mechanisms, allowing unauthenticated remote attackers to upload arbitrary files. This can be exploited to overwrite critical system files (such as the SQLite user database) to gain administrative access, or to upload malicious scripts to execute arbitrary code.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/02/2026
Suscribirse a Vulnerabilidades