Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-25290

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** @octokit/request sends parameterized requests to GitHub’s APIs with sensible defaults in browsers and Node. Starting in version 1.0.0 and prior to version 9.2.1, the regular expression `/]+)>; rel="deprecation"/` used to match the `link` header in HTTP responses is vulnerable to a ReDoS (Regular Expression Denial of Service) attack. This vulnerability arises due to the unbounded nature of the regex's matching behavior, which can lead to catastrophic backtracking when processing specially crafted input. An attacker could exploit this flaw by sending a malicious `link` header, resulting in excessive CPU usage and potentially causing the server to become unresponsive, impacting service availability. Version 9.2.1 fixes the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2025

CVE-2025-25285

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** @octokit/endpoint turns REST API endpoints into generic request options. Starting in version 4.1.0 and prior to version 10.1.3, by crafting specific `options` parameters, the `endpoint.parse(options)` call can be triggered, leading to a regular expression denial-of-service (ReDoS) attack. This causes the program to hang and results in high CPU utilization. The issue occurs in the `parse` function within the `parse.ts` file of the npm package `@octokit/endpoint`. Version 10.1.3 contains a patch for the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2025

CVE-2025-25288

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** @octokit/plugin-paginate-rest is the Octokit plugin to paginate REST API endpoint responses. For versions starting in 1.0.0 and prior to 11.4.1 of the npm package `@octokit/plugin-paginate-rest`, when calling `octokit.paginate.iterator()`, a specially crafted `octokit` instance—particularly with a malicious `link` parameter in the `headers` section of the `request`—can trigger a ReDoS attack. Version 11.4.1 contains a fix for the issue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2025

CVE-2025-0503

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** Mattermost versions 9.11.x
Gravedad CVSS v3.1: BAJA
Última modificación:
14/02/2025

CVE-2025-26506

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** Certain HP LaserJet Pro, HP LaserJet Enterprise, and HP LaserJet Managed Printers may potentially be vulnerable to Remote Code Execution and Elevation of Privilege when processing a PostScript print job.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
14/02/2025

CVE-2025-26507

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** Certain HP LaserJet Pro, HP LaserJet Enterprise, and HP LaserJet Managed Printers may potentially be vulnerable to Remote Code Execution and Elevation of Privilege when processing a PostScript print job.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/02/2025

CVE-2025-26508

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** Certain HP LaserJet Pro, HP LaserJet Enterprise, and HP LaserJet Managed Printers may potentially be vulnerable to Remote Code Execution and Elevation of Privilege when processing a PostScript print job.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/02/2025

CVE-2025-25997

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** Directory Traversal vulnerability in FeMiner wms v.1.0 allows a remote attacker to obtain sensitive information via the databak.php component.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/02/2025

CVE-2025-26156

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** A SQL Injection vulnerability was found in /shopping/track-orders.php in PHPGurukul Online Shopping Portal v2.1, which allows remote attackers to execute arbitrary code via orderid POST request parameter.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/02/2025

CVE-2025-26157

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** A SQL Injection vulnerability was found in /bpms/index.php in Source Code and Project Beauty Parlour Management System V1.1, which allows remote attackers to execute arbitrary code via the name POST request parameter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2025

CVE-2025-26158

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** A Stored Cross-Site Scripting (XSS) vulnerability was discovered in the manage-employee.php page of Kashipara Online Attendance Management System V1.0. This vulnerability allows remote attackers to execute arbitrary scripts via the department parameter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2025

CVE-2025-25988

Fecha de publicación:
14/02/2025
Idioma:
Inglés
*** Pendiente de traducción *** Cross Site Scripting vulnerability in hooskcms v.1.8 allows a remote attacker to cause a denial of service via the custom Link title parameter and the Title parameter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2025