Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en FFMPEG Git-Master (CVE-2025-25468)
    Severidad: MEDIA
    Fecha de publicación: 18/02/2025
    Fecha de última actualización: 29/01/2026
    Se descubrió que FFMPEG Git-Master antes de commit D5873B contenía una fuga de memoria en el componente Libavutil/Mem.c.
  • Vulnerabilidad en FFMPEG Git-Master (CVE-2025-25469)
    Severidad: MEDIA
    Fecha de publicación: 18/02/2025
    Fecha de última actualización: 29/01/2026
    Se descubrió que FFMPEG Git-Master antes de commit D5873B contenía una fuga de memoria en el componente Libavutil/iamf.c.
  • Vulnerabilidad en hzmanyun Education and Training System 3.1.1 (CVE-2025-1555)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2025
    Fecha de última actualización: 29/01/2026
    Se ha encontrado una vulnerabilidad clasificada como crítica en hzmanyun Education and Training System 3.1.1. Esta vulnerabilidad afecta a la función saveImage. La manipulación del archivo de argumentos permite la carga sin restricciones. El ataque se puede iniciar de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en vTiger CRM 6.4.0 (CVE-2025-1618)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2025
    Fecha de última actualización: 29/01/2026
    Se ha encontrado una vulnerabilidad en vTiger CRM 6.4.0 y se ha clasificado como problemática. Esta vulnerabilidad afecta al código desconocido del archivo /modules/Mobile/index.php. La manipulación del argumento _operation provoca Cross-Site Scripting. El ataque se puede iniciar de forma remota. La vulnerabilidad se ha divulgado al público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en hzmanyun Education and Training System 3.1.1 (CVE-2025-1676)
    Severidad: MEDIA
    Fecha de publicación: 25/02/2025
    Fecha de última actualización: 29/01/2026
    Se ha encontrado una vulnerabilidad clasificada como crítica en hzmanyun Education and Training System 3.1.1. La función pdf2swf del archivo /pdf2swf está afectada por esta vulnerabilidad. La manipulación del archivo de argumentos provoca la inyección de comandos del sistema operativo. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en Brocade ASCG (CVE-2024-1509)
    Severidad: ALTA
    Fecha de publicación: 28/02/2025
    Fecha de última actualización: 29/01/2026
    La interfaz web de Brocade ASCG anterior a la versión 3.2.0 no aplica HSTS, tal como se define en RFC 6797. HSTS es un encabezado de respuesta opcional que se puede configurar en el servidor para indicar al navegador que solo se comunique a través de HTTPS. La falta de HSTS permite ataques de degradación, ataques de intermediarios que eliminan SSL y debilita las protecciones contra el secuestro de cookies.
  • Vulnerabilidad en Serosoft Solutions Pvt Ltd Academia Student Information System (SIS) EagleR v1.0.118 (CVE-2025-25948)
    Severidad: CRÍTICA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 29/01/2026
    Control de acceso incorrecto en el componente /rest/staffResource/create de Serosoft Solutions Pvt Ltd Academia Student Information System (SIS) EagleR v1.0.118 permite crear y modificar cuentas de usuario, incluida una cuenta de Administrador.
  • Vulnerabilidad en Serosoft Solutions Pvt Ltd Academia Student Information System (SIS) EagleR v1.0.118 (CVE-2025-25949)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 29/01/2026
    Una vulnerabilidad de cross-site scripting (XSS) almacenado en Serosoft Solutions Pvt Ltd Academia Student Information System (SIS) EagleR v1.0.118 permite a los atacantes ejecutar scripts web o HTML arbitrarios mediante la inyección de un payload manipulada en el parámetro de ID de usuario en /rest/staffResource/update.
  • Vulnerabilidad en Ghost (CVE-2025-9862)
    Severidad: MEDIA
    Fecha de publicación: 17/09/2025
    Fecha de última actualización: 29/01/2026
    Una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en Ghost permite a un atacante acceder a recursos internos. Este problema afecta a Ghost: desde la versión 6.0.0 hasta la 6.0.8, y desde la 5.99.0 hasta la 5.130.3.