Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-55058

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** CWE-20 Improper Input Validation

Gravedad CVSS v3.1: MEDIA

Última modificación:

24/11/2025

CVE-2025-55059

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** CWE-79 Improper Neutralization of Input During Web Page Generation (XSS or &#39;Cross-site Scripting&#39;)

Gravedad CVSS v3.1: MEDIA

Última modificación:

24/11/2025

CVE-2025-58407

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** Kernel or driver software installed on a Guest VM may post improper commands to the GPU Firmware to exploit a TOCTOU race condition and trigger a read and/or write of data outside the allotted memory escaping the virtual machine.

Gravedad CVSS v3.1: ALTA

Última modificación:

08/01/2026

CVE-2025-13297

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** A security vulnerability has been detected in itsourcecode Web-Based Internet Laboratory Management System 1.0. The impacted element is an unknown function of the file /course/controller.php. Such manipulation leads to sql injection. The attack can be executed remotely. The exploit has been disclosed publicly and may be used.

Gravedad CVSS v4.0: MEDIA

Última modificación:

20/11/2025

CVE-2025-34322

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** Nagios Log Server versions prior to 2026R1.0.1 contain an authenticated command injection vulnerability in the experimental &#39;Natural Language Queries&#39; feature. When this feature is configured, certain user-controlled settings—including model selection and connection parameters—are read from the global configuration and concatenated into a shell command that is executed via shell_exec() without proper input handling or command-line argument sanitation. An authenticated user with access to the &#39;Global Settings&#39; page can supply crafted values in these fields to inject additional shell commands, resulting in arbitrary command execution as the &#39;www-data&#39; user and compromise of the Log Server host.

Gravedad CVSS v4.0: ALTA

Última modificación:

26/11/2025

CVE-2025-34323

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** Nagios Log Server versions prior to 2026R1.0.1 are vulnerable to local privilege escalation due to a combination of sudo misconfiguration and group-writable application directories. The &#39;www-data&#39; user is a member of the &#39;nagios&#39; group, which has write access to &#39;/usr/local/nagioslogserver/scripts&#39;, while several scripts in this directory are owned by root and may be executed via sudo without a password. A local attacker running as &#39;www-data&#39; can move one of these root-owned scripts to a backup name and create a replacement script with attacker-controlled content at the original path, then invoke it with sudo. This allows arbitrary commands to be executed with root privileges, providing full compromise of the underlying operating system.

Gravedad CVSS v4.0: ALTA

Última modificación:

26/11/2025

CVE-2024-44657

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** PHPGurukul Complaint Management System 2.0 is vulnerable to SQL Injection via the fromdate and todate parameters in between-date-userreport.php.

Gravedad CVSS v3.1: MEDIA

Última modificación:

19/11/2025

CVE-2024-44653

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** Kashipara Ecommerce Website 1.0 is vulnerable to SQL Injection via the user_email parameter in user_login.php.

Gravedad CVSS v3.1: MEDIA

Última modificación:

19/11/2025

CVE-2024-44651

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** Kashipara Ecommerce Website 1.0 is vulnerable to SQL Injection via the recover_email parameter in user_password_recover.php.

Gravedad CVSS v3.1: MEDIA

Última modificación:

19/11/2025

CVE-2025-63918

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** PDFPatcher executable does not validate user-supplied file paths, allowing directory traversal attacks allowing attackers to upload arbitrary files to arbitrary locations.

Gravedad CVSS v3.1: MEDIA

Última modificación:

08/01/2026

CVE-2025-63917

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** PDFPatcher thru 1.1.3.4663 executable&#39;s XML bookmark import functionality does not restrict XML external entity (XXE) references. The application uses .NET&#39;s XmlDocument class without disabling external entity resolution, enabling attackers to: Read arbitrary files from the victim&#39;s filesystem, exfiltrate sensitive data via out-of-band (OOB) HTTP requests, perform SSRF attacks against internal network resources, or cause a denial of service via entity expansion attacks.

Gravedad CVSS v3.1: ALTA

Última modificación:

08/01/2026

CVE-2025-62519

Fecha de publicación:

17/11/2025

Idioma:

Inglés

*** Pendiente de traducción *** phpMyFAQ is an open source FAQ web application. Prior to version 4.0.14, an authenticated SQL injection vulnerability in the main configuration update functionality of phpMyFAQ allows a privileged user with &#39;Configuration Edit&#39; permissions to execute arbitrary SQL commands. Successful exploitation can lead to a full compromise of the database, including reading, modifying, or deleting all data, as well as potential remote code execution depending on the database configuration. This issue has been patched in version 4.0.14.

Gravedad CVSS v3.1: ALTA

Última modificación:

05/01/2026

Suscribirse a Vulnerabilidades