CVE-2025-37164 es una vulnerabilidad crítica en HPE OneView que permite a un atacante ingresar sin autenticación y tomar control total del sistema, poniendo en riesgo toda la infraestructura gestionada.

CVE-2025-59718 es una vulnerabilidad crítica que afecta a equipos Fortinet. Debido a un error en la verificación de inicio de sesión, un atacante puede ingresar al sistema sin usuario ni contraseña, obtener control administrativo y acceder a información sensible. Esta vulnerabilidad ya está siendo usada por ciberdelincuentes y ha sido alertada oficialmente por la CISA.

CVE-2025-13780 es una vulnerabilidad crítica de ejecución remota de comandos (RCE) en pgAdmin 4, que permite a un atacante inyectar y ejecutar comandos arbitrarios en el servidor que aloja la herramienta al restaurar archivos de volcado en formato PLAIN.

CVE-2025-43529 es una vulnerabilidad de tipo use-after-free en el motor de navegación WebKit de Apple que puede permitir la ejecución de código arbitrario al procesar contenido web malicioso. El fallo fue corregido en actualizaciones de iOS, iPadOS, macOS, tvOS, watchOS y visionOS.

CVE-2025-14765 es una vulnerabilidad use-after-free en la implementación WebGPU de Google Chrome en versiones anteriores a la 143.0.7499.147, que podría permitir a un atacante remoto causar corrupción de memoria (heap corruption) mediante una página HTML especialmente diseñada.

CVE-2025-8405 es una vulnerabilidad de inyección de HTML en GitLab CE/EE que podría permitir a un usuario autenticado ejecutar acciones no autorizadas en nombre de otros usuarios.

CVE-2025-33213 es una vulnerabilidad de deserialización de datos no confiables en el componente Trainer de NVIDIA Merlin Transformers4Rec para Linux. La falla permite que un atacante provoque la ejecución de código arbitrario, interrupción del servicio, divulgación de información o manipulación de datos si se suministran datos maliciosos a través del proceso de deserialización.

CVE-2025-64460 es una vulnerabilidad en Django que permite causar una denegación de servicio (DoS) enviando un XML malicioso al serializador XML. El problema se origina en la función interna getInnerText(), cuya complejidad algorítmica permite que un atacante genere un uso excesivo de CPU y memoria, dejando la aplicación lenta, bloqueada o fuera de servicio.

CVE-2025-65998 es una vulnerabilidad en Apache Syncope que se manifiesta cuando la plataforma está configurada para almacenar contraseñas mediante cifrado AES: la clave AES usada para ese cifrado está codificada (“hard-coded”) en el código del software. Si un atacante logra acceso a la base de datos interna, puede usar esa clave predeterminada para descifrar todas las contraseñas almacenadas y obtenerlas en texto claro.

Una falla en Apple Compressor permite que un usuario no autenticado en la misma red que un servidor Compressor ejecute código arbitrario de forma remota. La vulnerabilidad fue publicada el 13 de noviembre de 2025.