Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2025-43726
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Dell Alienware Command Center 5.x (AWCC), versions prior to 5.10.2.0, contains an Improper Link Resolution Before File Access ('Link Following')" vulnerability. A low privileged attacker with local access could potentially exploit this vulnerability, leading to Elevation of Privileges.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

CVE-2025-36162
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** IBM DevOps Deploy / IBM UrbanCode Deploy (UCD) 8.1 before 8.1.2.2 could allow an authenticated user to obtain sensitive information about configuration on the system.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2025

CVE-2025-55824
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** ModStartCMS v9.5.0 has an arbitrary file write vulnerability, which allows attackers to write malicious files and execute malicious commands to obtain sensitive data on the server.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2025

CVE-2025-50565
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Doubo ERP 1.0 has an SQL injection vulnerability due to a lack of filtering of user input, which can be remotely initiated by an attacker.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2025

CVE-2025-51966
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** A cross-site scripting (XSS) vulnerability exists in the PDF preview functionality of uTools thru 7.1.1. When a user previews a specially crafted PDF file, embedded JavaScript code executes within the application's privileged context, potentially allowing attackers to steal sensitive data or perform unauthorized actions.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2025

CVE-2025-55476
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** FireShare FileShare 1.2.25 contains a time-based blind SQL injection vulnerability in the sort parameter of the endpoint: GET /api/videos/public?sort= This parameter is unsafely evaluated in a SQL ORDER BY clause without proper sanitization, allowing an attacker to inject arbitrary SQL subqueries.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2025

CVE-2025-32098
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in Samsung Magician 6.3 through 8.3 on Windows. An attacker can achieve Elevation of Privileges to SYSTEM by exploiting insecure file delete operations during the update process.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2025

CVE-2025-32100
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in Samsung Mobile Processor, Wearable Processor, and Modem Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 1580, 9110, W920, W930, W1000, Modem 5123, Modem 5300, and Modem 5400. A programming mistake for buffer copy leads to out-of-bounds writes via malformed ROHC packets.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2025

CVE-2025-55474
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Many Notes 0.10.1 is vulnerable to Cross Site Scripting (XSS), which allows malicious Markdown files to execute JavaScript when viewed.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2025

CVE-2025-55473
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** Asian Arts Talents Foundation (AATF) Website v5.1.x and Docker version 2024.12.8.1 are vulnerable to Cross Site Scripting (XSS). The vulnerability exists in the /ip.php endpoint, which processes and displays the X-Forwarded-For HTTP header without proper sanitization or output encoding. This allows an attacker to inject malicious JavaScript code that will execute in visitor browsers.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

CVE-2025-9696
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** The SunPower PVS6's BluetoothLE interface is vulnerable due to its use of hardcoded encryption parameters and publicly accessible protocol details. An attacker within Bluetooth range could exploit this vulnerability to gain full access to the device's servicing interface. This access allows the attacker to perform actions such as firmware replacement, disabling power production, modifying grid settings, creating SSH tunnels, altering firewall settings, and manipulating connected devices.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

CVE-2025-9828
Fecha de publicación:
02/09/2025
Idioma:
Inglés
*** Pendiente de traducción *** A vulnerability was determined in Tenda CP6 11.10.00.243. The affected element is the function sub_2B7D04 of the component uhttp. Executing manipulation can lead to risky cryptographic algorithm. The attack may be launched remotely. This attack is characterized by high complexity. The exploitability is described as difficult. The exploit has been publicly disclosed and may be utilized.
Gravedad CVSS v4.0: BAJA
Última modificación:
29/04/2026
Suscribirse a Vulnerabilidades