Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-30468

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** This issue was addressed through improved state management. This issue is fixed in iOS 26 and iPadOS 26. Private Browsing tabs may be accessed without authentication.

Gravedad CVSS v3.1: MEDIA

Última modificación:

03/11/2025

CVE-2025-31254

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** This issue was addressed with improved URL validation. This issue is fixed in Safari 26, iOS 26 and iPadOS 26. Processing maliciously crafted web content may lead to unexpected URL redirection.

Gravedad CVSS v3.1: MEDIA

Última modificación:

03/11/2025

CVE-2025-24197

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** A logic issue was addressed with improved checks. This issue is fixed in macOS Sequoia 15.7, macOS Sonoma 14.8, macOS Tahoe 26. An app may be able to access sensitive user data.

Gravedad CVSS v3.1: MEDIA

Última modificación:

02/04/2026

CVE-2025-31255

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** An authorization issue was addressed with improved state management. This issue is fixed in iOS 26 and iPadOS 26, macOS Sequoia 15.7, macOS Sonoma 14.8, macOS Tahoe 26, tvOS 26, watchOS 26. An app may be able to access sensitive user data.

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

02/04/2026

CVE-2025-31268

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** A permissions issue was addressed with additional restrictions. This issue is fixed in macOS Sequoia 15.7, macOS Sonoma 14.8, macOS Tahoe 26. An app may be able to access protected user data.

Gravedad CVSS v3.1: MEDIA

Última modificación:

02/04/2026

CVE-2025-10485

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability has been found in pojoin h3blog up to 5bf704425ebc11f4c24da51f32f36bb17ae20489. Affected by this issue is the function ppt_log of the file /login of the component HTTP Header Handler. Such manipulation of the argument X-Forwarded-For leads to cross site scripting. The attack may be performed from remote. The exploit has been disclosed to the public and may be used. This product utilizes a rolling release system for continuous delivery, and as such, version information for affected or updated releases is not disclosed.

Gravedad CVSS v4.0: MEDIA

Última modificación:

15/04/2026

CVE-2025-10483

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** A flaw has been found in SourceCodester Online Student File Management System 1.0. Affected by this vulnerability is an unknown functionality of the file /admin/save_user.php. This manipulation of the argument firstname causes sql injection. The attack is possible to be carried out remotely. The exploit has been published and may be used. Other parameters might be affected as well.

Gravedad CVSS v4.0: MEDIA

Última modificación:

22/09/2025

CVE-2025-57117

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** A Clickjacking vulnerability exists in Rems&#39; Employee Management System 1.0. This flaw allows remote attackers to execute arbitrary JavaScript on the department.php page by injecting a malicious payload into the Department Name field under Add Department.

Gravedad CVSS v3.1: MEDIA

Última modificación:

18/09/2025

CVE-2025-57118

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** An issue in PHPGurukul Online-Library-Management-System v3.0 allows an attacker to escalate privileges via the index.php

Gravedad CVSS v3.1: CRÍTICA

Última modificación:

18/09/2025

CVE-2025-43802

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** Stored cross-site scripting (XSS) vulnerability in a custom object’s /o/c/ API endpoint in Liferay Portal 7.4.3.51 through 7.4.3.109, and Liferay DXP 2023.Q3.1 through 2023.Q3.4, 7.4 update 51 through update 92, and 7.3 update 33 through update 35. allows remote attackers to inject arbitrary web script or HTML via the externalReferenceCode parameter.

Gravedad CVSS v4.0: MEDIA

Última modificación:

12/12/2025

CVE-2025-56274

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** SourceCodester Web-based Pharmacy Product Management System 1.0 is vulnerable to Incorrect Access Control, which allows low-privileged users to forge high privileged (such as admin) sessions and perform sensitive operations such as adding new users.

Gravedad CVSS v3.1: ALTA

Última modificación:

09/04/2026

CVE-2025-6947

Fecha de publicación:

15/09/2025

Idioma:

Inglés

*** Pendiente de traducción *** Improper Neutralization of Input During Web Page Generation (XSS or &#39;Cross-site Scripting&#39;) vulnerability in WatchGuard Fireware OS allows Stored XSS via the SIP Proxy module. This vulnerability requires an authenticated administrator session to a locally managed Firebox.<br /> <br /> This issue affects Firebox: from 12.0 through 12.11.2.

Gravedad CVSS v4.0: MEDIA

Última modificación:

15/04/2026

Suscribirse a Vulnerabilidades