Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2025-66401
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** MCP Watch is a comprehensive security scanner for Model Context Protocol (MCP) servers. In 0.1.2 and earlier, the MCPScanner class contains a critical Command Injection vulnerability in the cloneRepo method. The application passes the user-supplied githubUrl argument directly to a system shell via execSync without sanitization. This allows an attacker to execute arbitrary commands on the host machine by appending shell metacharacters to the URL.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/02/2026

CVE-2025-66400
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** mdast-util-to-hast is an mdast utility to transform to hast. From 13.0.0 to before 13.2.1, multiple (unprefixed) classnames could be added in markdown source by using character references. This could make rendered user supplied markdown code elements appear like the rest of the page. This vulnerability is fixed in 13.2.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/02/2026

CVE-2025-66410
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Gin-vue-admin is a backstage management system based on vue and gin. In 2.8.6 and earlier, attackers can delete any file on the server at will, causing damage or unavailability of server resources. Attackers can control the 'FileMd5' parameter to delete any file and folder.
Gravedad CVSS v4.0: ALTA
Última modificación:
06/02/2026

CVE-2025-66412
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 21.0.2, 20.3.15, and 19.2.17, A Stored Cross-Site Scripting (XSS) vulnerability has been identified in the Angular Template Compiler. It occurs because the compiler's internal security schema is incomplete, allowing attackers to bypass Angular's built-in security sanitization. Specifically, the schema fails to classify certain URL-holding attributes (e.g., those that could contain javascript: URLs) as requiring strict URL security, enabling the injection of malicious scripts. This vulnerability is fixed in 21.0.2, 20.3.15, and 19.2.17.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

CVE-2025-66405
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Portkey.ai Gateway is a blazing fast AI Gateway with integrated guardrails. Prior to 1.14.0, the gateway determined the destination baseURL by prioritizing the value in the x-portkey-custom-host request header. The proxy route then appends the client-specified path to perform an external fetch. This can be maliciously used by users for SSRF attacks. This vulnerability is fixed in 1.14.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2026

CVE-2025-66313
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** ChurchCRM is an open-source church management system. In ChurchCRM 6.2.0 and earlier, there is a time-based blind SQL injection in the handling of the 1FieldSec parameter. Injecting SLEEP() causes deterministic server-side delays, proving the value is incorporated into a SQL query without proper parameterization. The issue allows data exfiltration and modification via blind techniques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

Vulnerabilidad en grav de getgrav (CVE-2025-66310)
Fecha de publicación:
01/12/2025
Idioma:
Español
Este plugin de administración para Grav es una interfaz de usuario HTML que proporciona una forma conveniente de configurar Grav y crear y modificar páginas fácilmente. Versiones anteriores a 1.11.0-beta.1, se identificó una vulnerabilidad de Cross-Site Scripting Almacenado (XSS) en el endpoint /admin/pages/[page] de la aplicación Grav. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro data[header][template]. El script se guarda dentro del frontmatter de la página y se ejecuta automáticamente cada vez que el contenido afectado se renderiza en la interfaz administrativa o en la vista de frontend. Esta vulnerabilidad está corregida en 1.11.0-beta.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

CVE-2025-66312
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** This admin plugin for Grav is an HTML user interface that provides a convenient way to configure Grav and easily create and modify pages. Prior to 1.11.0-beta.1, a Stored Cross-Site Scripting (XSS) vulnerability was identified in the /admin/accounts/groups/Grupo endpoint of the Grav application. This vulnerability allows attackers to inject malicious scripts into the data[readableName] parameter. The injected scripts are stored on the server and executed automatically whenever the affected page is accessed by users, posing a significant security risk. This vulnerability is fixed in 1.11.0-beta.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

CVE-2025-66311
Fecha de publicación:
01/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** This admin plugin for Grav is an HTML user interface that provides a convenient way to configure Grav and easily create and modify pages. Prior to 1.11.0-beta.1, a Stored Cross-Site Scripting (XSS) vulnerability was identified in the /admin/pages/[page] endpoint of the Grav application. This vulnerability allows attackers to inject malicious scripts into the data[header][metadata], data[header][taxonomy][category], and data[header][taxonomy][tag] parameters. These scripts are stored in the page frontmatter and executed automatically whenever the affected page is accessed or rendered in the administrative interface. This vulnerability is fixed in 1.11.0-beta.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

Vulnerabilidad en grav de getgrav (CVE-2025-66305)
Fecha de publicación:
01/12/2025
Idioma:
Español
Grav es una plataforma web basada en archivos. Versiones anteriores a la 1.8.0-beta.27, se identificó una vulnerabilidad de denegación de servicio (DoS) en el submenú 'Idiomas' del panel de configuración de administración de Grav (/admin/config/system). Específicamente, el parámetro Supported no valida correctamente la entrada del usuario. Si se inserta un valor malformado —como una sola barra inclinada (/) o una cadena de prueba XSS—, provoca un error fatal de análisis de expresión regular en el servidor. Esto conduce a una falla en toda la aplicación debido al uso de la función preg_match() con una expresión regular construida incorrectamente, lo que resulta en un error. Una vez activado, el sitio queda completamente no disponible para todos los usuarios. Esta vulnerabilidad se corrige en la 1.8.0-beta.27.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

Vulnerabilidad en grav de getgrav (CVE-2025-66308)
Fecha de publicación:
01/12/2025
Idioma:
Español
Este plugin de administración para Grav es una interfaz de usuario HTML que proporciona una forma conveniente de configurar Grav y crear y modificar páginas fácilmente. Versiones anteriores a 1.11.0-beta.1, una vulnerabilidad de cross-site scripting (XSS) almacenado fue identificada en el endpoint /admin/config/site de la aplicación Grav. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro data[taxonomies]. La carga útil inyectada se almacena en el servidor y se ejecuta automáticamente en el navegador de cualquier usuario que acceda a la configuración del sitio afectada, lo que resulta en un vector de ataque persistente. Esta vulnerabilidad está corregida en 1.11.0-beta.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025

Vulnerabilidad en grav de getgrav (CVE-2025-66309)
Fecha de publicación:
01/12/2025
Idioma:
Español
Este plugin de administración para Grav es una interfaz de usuario HTML que proporciona una forma conveniente de configurar Grav y crear y modificar páginas fácilmente. Versiones anteriores a 1.11.0-beta.1, se identificó una vulnerabilidad de cross-site scripting (XSS) reflejado en el endpoint /admin/pages/[page] de la aplicación Grav. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro data[header][content][items]. Esta vulnerabilidad está corregida en 1.11.0-beta.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/12/2025
Suscribirse a Vulnerabilidades