Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2024-58275

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** Easywall 0.3.1 allows authenticated remote command execution via a command injection vulnerability in the /ports-save endpoint that suffers from a parameter injection flaw. Attackers can inject shell metacharacters to execute arbitrary commands on the server.

Gravedad CVSS v4.0: ALTA

Última modificación:

08/12/2025

CVE-2024-58276

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** Obi08/Enrollment System 1.0 contains a SQL injection vulnerability in the keyword parameter of /get_subject.php that allows unauthenticated attackers to execute arbitrary SQL queries. Attackers can use UNION-based injection to extract sensitive information from the users table including usernames and passwords.

Gravedad CVSS v4.0: ALTA

Última modificación:

08/12/2025

CVE-2024-58277

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** R Radio Network FM Transmitter 1.07 allows unauthenticated attackers to access the admin user&#39;s password through the system.cgi endpoint, enabling authentication bypass and FM station setup access.

Gravedad CVSS v4.0: ALTA

Última modificación:

08/12/2025

CVE-2024-58278

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** perl2exe

Gravedad CVSS v4.0: ALTA

Última modificación:

08/12/2025

CVE-2023-53734

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** dawa-pharma-1.0 allows unauthenticated attackers to execute SQL queries on the server, allowing them to access sensitive information and potentially gain administrative access.

Gravedad CVSS v4.0: ALTA

Última modificación:

08/12/2025

CVE-2025-65883

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** A vulnerability has been identified in Genexis Platinum P4410 router (Firmware P4410-V2–1.41) that allows a local network attacker to achieve Remote Code Execution (RCE) with root privileges. The issue occurs due to improper session invalidation after administrator logout. When an administrator logs out, the session token remains valid. An attacker on the local network can reuse this stale token to send crafted requests via the router’s diagnostic endpoint, resulting in command execution as root.

Gravedad CVSS v3.1: ALTA

Última modificación:

23/12/2025

CVE-2025-65806

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** The E-POINT CMS eagle.gsam-1169.1 file upload feature improperly handles nested archive files. An attacker can upload a nested ZIP (a ZIP containing another ZIP) where the inner archive contains an executable file (e.g. webshell.php). When the application extracts the uploaded archives, the executable may be extracted into a web-accessible directory. This can lead to remote code execution (RCE), data disclosure, account compromise, or further system compromise depending on the web server/process privileges. The issue arises from insufficient validation of archive contents and inadequate restrictions on extraction targets.

Gravedad CVSS v3.1: ALTA

Última modificación:

05/01/2026

CVE-2025-65958

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.6.37, a Server-Side Request Forgery (SSRF) vulnerability in Open WebUI allows any authenticated user to force the server to make HTTP requests to arbitrary URLs. This can be exploited to access cloud metadata endpoints (AWS/GCP/Azure), scan internal networks, access internal services behind firewalls, and exfiltrate sensitive information. No special permissions beyond basic authentication are required. This vulnerability is fixed in 0.6.37.

Gravedad CVSS v3.1: ALTA

Última modificación:

10/12/2025

CVE-2025-63499

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** Alinto Sogo 5.12.3 is vulnerable to Cross Site Scripting (XSS) via the theme parameter.

Gravedad CVSS v3.1: MEDIA

Última modificación:

18/12/2025

CVE-2025-12997

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** Insecure Direct Object Reference vulnerability in Medtronic CareLink Network which allows an authenticated attacker with access to specific device and user information to submit web requests to an API endpoint that would expose sensitive user information. This issue affects CareLink Network: before December 4, 2025.

Gravedad CVSS v3.1: BAJA

Última modificación:

22/12/2025

CVE-2025-12996

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** Medtronic CareLink Network allows a local attacker with access to log files on an internal API server to view plaintext passwords from errors logged under certain circumstances. This issue affects CareLink Network: before December 4, 2025.

Gravedad CVSS v3.1: MEDIA

Última modificación:

22/12/2025

CVE-2025-12995

Fecha de publicación:

04/12/2025

Idioma:

Inglés

*** Pendiente de traducción *** Medtronic CareLink Network allows an unauthenticated remote attacker to perform a brute force attack on an API endpoint that could be used to determine a valid password under certain circumstances. This issue affects CareLink Network: before December 4, 2025.

Gravedad CVSS v3.1: ALTA

Última modificación:

22/12/2025

Suscribirse a Vulnerabilidades