Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • CVE-2025-30749
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 04/08/2025
    Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition (componente 2D). Las versiones compatibles afectadas son Oracle Java SE: 8u451, 8u451-perf, 11.0.27, 17.0.15, 21.0.7 y 24.0.1; Oracle GraalVM para JDK: 17.0.15, 21.0.7 y 24.0.1; Oracle GraalVM Enterprise Edition: 21.3.14. Esta vulnerabilidad, difícil de explotar, permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Los ataques con éxito a esta vulnerabilidad pueden resultar en la toma de control de Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad afecta a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java en entornos aislados, que cargan y ejecutan código no confiable (p. ej., código proveniente de internet) y dependen del entorno de pruebas de Java para su seguridad. Esta vulnerabilidad no afecta a implementaciones de Java, generalmente en servidores, que cargan y ejecutan únicamente código confiable (p. ej., código instalado por un administrador). Puntuación base de CVSS 3.1: 8.1 (Afecta a la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK (CVE-2025-30752)
    Severidad: BAJA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 04/08/2025
    Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK (componente: Compiler). La versión compatible afectada es Oracle Java SE: 24.0.1; Oracle GraalVM para JDK: 24.0.1. Esta vulnerabilidad, difícil de explotar, permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM para JDK. Los ataques exitosos de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Java SE, Oracle GraalVM para JDK. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start o subprogramas Java en entornos aislados, que cargan y ejecutan código no confiable (por ejemplo, código proveniente de internet) y dependen del entorno de pruebas de Java para su seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, generalmente en servidores, que cargan y ejecutan solo código confiable (por ejemplo, código instalado por un administrador). Puntuación base CVSS 3.1: 3.7 (Impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2025-50059)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 04/08/2025
    Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Redes). Las versiones compatibles afectadas son Oracle Java SE: 8u451-perf, 11.0.27, 17.0.15, 21.0.7 y 24.0.1; Oracle GraalVM para JDK: 17.0.15, 21.0.7 y 24.0.1; Oracle GraalVM Enterprise Edition: 21.3.14. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Si bien la vulnerabilidad se encuentra en Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition, los ataques podrían afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Java SE, Oracle GraalVM for JDK y Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start o subprogramas Java en un entorno de pruebas, que cargan y ejecutan código no confiable (p. ej., código que proviene de internet) y dependen del entorno de pruebas de Java para su seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, generalmente en servidores, que cargan y ejecutan solo código confiable (p. ej., código instalado por un administrador). Puntuación base de CVSS 3.1: 8.6 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N).
  • Vulnerabilidad en Oracle Java SE (CVE-2025-50063)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 04/08/2025
    Vulnerabilidad en Oracle Java SE (componente: Instalación). Las versiones compatibles afectadas son Oracle Java SE: 8u451 y 8u451-perf. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con pocos privilegios, con acceso a la infraestructura donde se ejecuta Oracle Java SE, comprometer Oracle Java SE. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Java SE. Nota: Aplica al proceso de instalación en la implementación de cliente de Java. Puntuación base de CVSS 3.1: 7.3 (Afecta a la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle GraalVM para JDK de Oracle Java SE (CVE-2025-50065)
    Severidad: BAJA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 04/08/2025
    Vulnerabilidad en Oracle GraalVM para JDK de Oracle Java SE (componente: Imagen Nativa). La versión compatible afectada es Oracle GraalVM para JDK: 24.0.1. Esta vulnerabilidad, difícil de explotar, permite a un atacante no autenticado con acceso a la red vía HTTP comprometer Oracle GraalVM para JDK. Los ataques con éxito de esta vulnerabilidad pueden permitir que personas no autorizadas causen una denegación de servicio parcial (DOS parcial) de Oracle GraalVM para JDK. Puntuación base de CVSS 3.1: 3.7 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
  • Vulnerabilidad en Oracle Database Server (CVE-2025-50069)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 04/08/2025
    Vulnerabilidad en el componente Java VM de Oracle Database Server. Las versiones compatibles afectadas son 19.3-19.27 y 21.3-21.18. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios bajos, con privilegios para crear sesión y procedimiento y acceso a la red a través de Oracle Net, comprometer Java VM. Si bien la vulnerabilidad afecta a Java VM, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Java VM. Puntuación base de CVSS 3.1: 7.7 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N).
  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition (CVE-2025-50106)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 04/08/2025
    Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition (componente 2D). Las versiones compatibles afectadas son Oracle Java SE: 8u451, 8u451-perf, 11.0.27, 17.0.15, 21.0.7 y 24.0.1; Oracle GraalVM para JDK: 17.0.15, 21.0.7 y 24.0.1; Oracle GraalVM Enterprise Edition: 21.3.14. Esta vulnerabilidad, difícil de explotar, permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Los ataques con éxito a esta vulnerabilidad pueden resultar en la toma de control de Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad puede explotarse mediante el uso de las API en el componente especificado, por ejemplo, a través de un servicio web que suministra datos a las API. Esta vulnerabilidad también afecta a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java en entornos aislados, que cargan y ejecutan código no confiable (por ejemplo, código proveniente de internet) y dependen del entorno de pruebas de Java para su seguridad. Puntuación base de CVSS 3.1: 8.1 (Afecta a la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM Enterprise Edition (CVE-2025-30761)
    Severidad: MEDIA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 04/08/2025
    Vulnerabilidad en Oracle Java SE, Oracle GraalVM Enterprise Edition (componente: Scripting). Las versiones compatibles afectadas son Oracle Java SE: 8u451, 8u451-perf y 11.0.27; Oracle GraalVM Enterprise Edition: 21.3.14. Esta vulnerabilidad, difícil de explotar, permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad puede explotarse mediante el uso de las API del componente especificado, por ejemplo, a través de un servicio web que suministra datos a las API. Esta vulnerabilidad también afecta a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start o subprogramas Java en entornos aislados, que cargan y ejecutan código no confiable (por ejemplo, código proveniente de internet) y dependen del entorno de pruebas de Java para su seguridad. Puntuación base CVSS 3.1: 5,9 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N).
  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition (CVE-2025-30754)
    Severidad: MEDIA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 04/08/2025
    Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition (componente: JSSE). Las versiones compatibles afectadas son Oracle Java SE: 8u451, 8u451-perf, 11.0.27, 17.0.15, 21.0.7 y 24.0.1; Oracle GraalVM para JDK: 17.0.15, 21.0.7 y 24.0.1; Oracle GraalVM Enterprise Edition: 21.3.14. Esta vulnerabilidad, difícil de explotar, permite que un atacante no autenticado con acceso a la red mediante TLS comprometa Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserciones o eliminaciones de algunos datos accesibles de Oracle Java SE, Oracle GraalVM for JDK y Oracle GraalVM Enterprise Edition, así como acceso no autorizado a lecturas de un subconjunto de dichos datos. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start o subprogramas Java en entornos aislados, que cargan y ejecutan código no confiable (p. ej., código proveniente de internet) y dependen del entorno de pruebas de Java para su seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, generalmente en servidores, que cargan y ejecutan solo código confiable (p. ej., código instalado por un administrador). Puntuación base de CVSS 3.1: 4.8 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N).
  • Vulnerabilidad en Human Resource Management System version 1.0 (CVE-2025-40682)
    Severidad: ALTA
    Fecha de publicación: 29/07/2025
    Fecha de última actualización: 04/08/2025
    Vulnerabilidad de inyección SQL en Human Resource Management System version 1.0, que permite a un atacante recuperar, crear, actualizar y eliminar bases de datos a través de los parámetros “city” y “state” en el endpoint /controller/ccity.php.
  • Vulnerabilidad en Human Resource Management System version 1.0 (CVE-2025-40683)
    Severidad: MEDIA
    Fecha de publicación: 29/07/2025
    Fecha de última actualización: 04/08/2025
    Se detectó un ataque de Cross-Site Scripting (XSS) reflejado en Human Resource Management System version 1.0. Esta vulnerabilidad podría permitir que un atacante ejecute código JavaScript en el navegador de la víctima enviando una URL maliciosa a través del parámetro "searccity" en /city.php.
  • Vulnerabilidad en Human Resource Management System version 1.0 (CVE-2025-40684)
    Severidad: MEDIA
    Fecha de publicación: 29/07/2025
    Fecha de última actualización: 04/08/2025
    Se detectó un ataque de Cross-Site Scripting (XSS) reflejado en Human Resource Management System version 1.0. Esta vulnerabilidad podría permitir que un atacante ejecute código JavaScript en el navegador de la víctima enviando una URL maliciosa a través del parámetro "searccountry" en/country.php.
  • Vulnerabilidad en Human Resource Management System version 1.0 (CVE-2025-40685)
    Severidad: MEDIA
    Fecha de publicación: 29/07/2025
    Fecha de última actualización: 04/08/2025
    Se detectó un ataque de Cross-Site Scripting (XSS) reflejado en Human Resource Management System version 1.0. Esta vulnerabilidad podría permitir que un atacante ejecute código JavaScript en el navegador de la víctima enviando una URL maliciosa a través del parámetro "searcstate" en/state.php.
  • Vulnerabilidad en Human Resource Management System version 1.0 (CVE-2025-40686)
    Severidad: MEDIA
    Fecha de publicación: 29/07/2025
    Fecha de última actualización: 04/08/2025
    Cross-Site Scripting (XSS) reflejado en Human Resource Management System version 1.0. Esta vulnerabilidad podría permitir que un atacante ejecute código JavaScript en el navegador de la víctima enviando una URL maliciosa a través del parámetro 'employeeid' en/detailview.php.