Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-10957
Fecha de publicación:
25/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** This vulnerability exists in the Syrotech SY-GPON-2010-WADONT router due to improper access control in its FTP service. A remote attacker could exploit this vulnerability by establishing an FTP connection using default credentials, potentially gaining unauthorized access to configuration files, user credentials, or other sensitive information stored on the targeted device.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/09/2025

CVE-2025-40698
Fecha de publicación:
25/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** SQL injection vulnerability in Prevengos v2.44 by Nedatec Consulting. This vulnerability allows an attacker to retrieve, create, update, and delete databases by sending a POST request using the parameters “mpsCentroin”, “mpsEmpresa”, “mpsProyecto”, and “mpsContrata” in “/servicios/autorizaciones.asmx/mfsRecuperarListado”.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/09/2025

CVE-2025-10941
Fecha de publicación:
25/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was determined in Topaz SERVCore Teller 2.14.0-RC2/2.14.1. Affected by this issue is some unknown functionality of the file SERVCoreTeller_2.0.40D.msi of the component Installer. Executing manipulation can lead to permission issues. The attack needs to be launched locally. You should upgrade the affected component. The vendor explains, that "this vulnerability was detected at the beginning of 2025, it was remediated because the latest published version of the installer no longer uses "nssm," which is responsible for this vulnerability".
Gravedad CVSS v4.0: ALTA
Última modificación:
30/09/2025

CVE-2025-10942
Fecha de publicación:
25/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was identified in H3C Magic B3 up to 100R002. This affects the function AddMacList/EditMacList of the file /goform/aspForm. The manipulation of the argument param leads to buffer overflow. The attack can be initiated remotely. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/11/2025

CVE-2025-10940
Fecha de publicación:
25/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was found in Total.js CMS 1.0.0. Affected by this vulnerability is the function layouts_save of the file /admin/ of the component Layout Page. Performing manipulation of the argument HTML results in cross site scripting. It is possible to initiate the attack remotely. The exploit has been made public and could be used. The vendor was contacted early about this disclosure but did not respond in any way.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/01/2026

CVE-2025-10438
Fecha de publicación:
25/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Path Traversal: 'dir/../../filename' vulnerability in Yordam Information Technology Consulting Education and Electrical Systems Industry Trade Inc. Yordam Katalog allows Path Traversal.This issue affects Yordam Katalog: before 21.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2025

CVE-2025-21056
Fecha de publicación:
25/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Improper input validation in Retail Mode prior to version 5.59.4 allows self attackers to execute privileged commands on their own devices.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2025

Vulnerabilidad en paquete Nx (sistema de compilación) y varios plugins relacionados (CVE-2025-10894)
Fecha de publicación:
24/09/2025
Idioma:
Español
Se insertó código malicioso en el paquete Nx (sistema de compilación) y varios plugins relacionados. El paquete manipulado se publicó en el registro de software npm, a través de un ataque a la cadena de suministro. Las versiones afectadas contienen código que escanea el sistema de archivos, recopila credenciales y las publica en GitHub como un repositorio bajo las cuentas de los usuarios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/09/2025

Vulnerabilidad en dispositivos FPGA (CVE-2025-54520)
Fecha de publicación:
24/09/2025
Idioma:
Español
Una protección inadecuada contra fallos de voltaje y reloj en dispositivos FPGA podría permitir a un atacante con acceso físico reducir el voltaje de la plataforma, lo que provocaría una pérdida de confidencialidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/09/2025

Vulnerabilidad en fast-redact (CVE-2025-57319)
Fecha de publicación:
24/09/2025
Idioma:
Español
fast-redact es un paquete que permite realizar una redacción de objetos muy rápida. Una vulnerabilidad de Contaminación de Prototipos en la función nestedRestore de fast-redact versiones 3.5.0 y anteriores permite a los atacantes inyectar propiedades en Object.prototype mediante el suministro de una carga útil manipulada, causando denegación de servicio (DoS) como consecuencia mínima. NOTA: el Proveedor disputa esto porque el informante solo demostró acceso a propiedades mediante una función de utilidad interna, y no existe ningún medio para lograr la contaminación de prototipos a través de la API pública.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2025

Vulnerabilidad en json-schema-editor-visual (CVE-2025-57320)
Fecha de publicación:
24/09/2025
Idioma:
Español
json-schema-editor-visual es un paquete que proporciona un editor de jsonschema. Una vulnerabilidad de Contaminación de Prototipos en la función setData y deleteData de las versiones de json-schema-editor-visual hasta la 1.1.1 permite a los atacantes inyectar o eliminar propiedades en Object.prototype mediante el suministro de una carga útil manipulada, causando denegación de servicio (DoS) como consecuencia mínima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2025

Vulnerabilidad en parse (CVE-2025-57324)
Fecha de publicación:
24/09/2025
Idioma:
Español
parse es un paquete diseñado para analizar SDK de JavaScript. Una vulnerabilidad de Contaminación de Prototipos en la función SingleInstanceStateController.initializeState de parse versión 5.3.0 y anteriores permite a los atacantes inyectar propiedades en Object.prototype mediante el suministro de una carga útil manipulada, causando denegación de servicio (DoS) como consecuencia mínima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2025
Suscribirse a Vulnerabilidades