Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Green CMS de Greencms (CVE-2019-25573)
Fecha de publicación:
21/03/2026
Idioma:
Español
Green CMS 2.x contiene una vulnerabilidad de inyección SQL que permite a atacantes autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través del parámetro cat. Los atacantes pueden enviar solicitudes GET a index.php con los parámetros m=admin, c=posts, a=index e inyectar código SQL en el parámetro cat para manipular consultas de base de datos y extraer información sensible.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en MetaGPT de Foundation Agents (CVE-2026-4516)
Fecha de publicación:
21/03/2026
Idioma:
Español
Se encontró una vulnerabilidad en Foundation Agents MetaGPT hasta la versión 0.8.1. Esta vulnerabilidad afecta código desconocido del archivo metagpt/actions/di/write_analysis_code.py del componente DataInterpreter. La manipulación resulta en inyección. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y podría ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en MediaMonkey de Mediamonkey (CVE-2019-25571)
Fecha de publicación:
21/03/2026
Idioma:
Español
MediaMonkey 4.1.23 contiene una vulnerabilidad de denegación de servicio que permite a atacantes locales colapsar la aplicación al abrir un archivo MP3 especialmente diseñado que contiene una cadena de URL excesivamente larga. Los atacantes pueden crear un archivo MP3 malicioso con un búfer que contiene 4000 bytes de datos adjuntos a una URL, lo que hace que la aplicación colapse cuando el archivo se abre a través del diálogo Archivo > Abrir URL.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en NordVPN de Nordvpn (CVE-2019-25572)
Fecha de publicación:
21/03/2026
Idioma:
Español
NordVPN 6.19.6 contiene una vulnerabilidad de denegación de servicio que permite a atacantes locales provocar un fallo en la aplicación al enviar una cadena excesivamente larga en el campo de entrada de correo electrónico. Los atacantes pueden pegar un búfer de 100.000 caracteres en el campo de correo electrónico durante el inicio de sesión para provocar un fallo en la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en RealTerm: Serial Terminal de Realterm (CVE-2019-25570)
Fecha de publicación:
21/03/2026
Idioma:
Español
RealTerm Serial Terminal 2.0.0.70 contiene una vulnerabilidad de denegación de servicio que permite a atacantes locales hacer que la aplicación falle al proporcionar una cadena excesivamente larga en el campo Puerto. Los atacantes pueden pegar un búfer de 1000 caracteres en el campo de entrada Puerto y hacer clic en el botón 'abrir' para provocar un fallo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en RealTerm: Serial Terminal de Realterm (CVE-2019-25569)
Fecha de publicación:
21/03/2026
Idioma:
Español
RealTerm Serial Terminal 2.0.0.70 contiene una vulnerabilidad de desbordamiento de búfer basado en pila en el campo Echo Port que permite a atacantes locales bloquear la aplicación al desencadenar una corrupción de la cadena de gestores de excepciones estructuradas (SEH). Los atacantes pueden crear una cadena de entrada maliciosa con 268 bytes de relleno seguida de valores de sobrescritura de SEH y pegarla en el campo Port para causar denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en TransMac de Acutesystems (CVE-2019-25566)
Fecha de publicación:
21/03/2026
Idioma:
Español
TransMac 12.3 contiene una vulnerabilidad de desbordamiento de búfer en el campo de nombre de volumen que permite a atacantes locales bloquear la aplicación al proporcionar una cadena excesivamente larga. Los atacantes pueden crear un archivo malicioso con 1000 caracteres repetidos, pegar el contenido en el campo de nombre de volumen durante la creación de una imagen de disco y provocar un bloqueo de la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en Valentina Studio de Valentina-Db (CVE-2019-25567)
Fecha de publicación:
21/03/2026
Idioma:
Español
Valentina Studio 9.0.5 Linux contiene una vulnerabilidad de desbordamiento de búfer en el campo Host del diálogo de conexión que permite a atacantes locales bloquear la aplicación al proporcionar una cadena de entrada sobredimensionada. Los atacantes pueden activar la vulnerabilidad al pegar un búfer manipulado que exceda los 264 bytes en el campo Host durante los intentos de conexión al servidor, causando una denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/03/2026

Vulnerabilidad en Memu Play de Memuplay (CVE-2019-25568)
Fecha de publicación:
21/03/2026
Idioma:
Español
Memu Play 6.0.7 contiene una vulnerabilidad de permisos de archivo inseguros que permite a usuarios con pocos privilegios escalar privilegios al reemplazar el ejecutable MemuService.exe. Los atacantes pueden renombrar y sobrescribir MemuService.exe en el directorio de instalación con un ejecutable malicioso, el cual se ejecuta con privilegios de nivel de sistema cuando el servicio se reinicia después de un reinicio del equipo.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/03/2026

Vulnerabilidad en PCHelpWareV2 de Uvnc (CVE-2019-25564)
Fecha de publicación:
21/03/2026
Idioma:
Español
PCHelpWareV2 1.0.0.5 contiene una vulnerabilidad de denegación de servicio que permite a atacantes locales bloquear la aplicación al proporcionar una cadena excesivamente larga en el campo Grupo. Los atacantes pueden pegar una carga útil de desbordamiento de búfer en el campo de propiedad Grupo y hacer clic en Aceptar para provocar un bloqueo de la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en PCHelpWareV2 de Uvnc (CVE-2019-25563)
Fecha de publicación:
21/03/2026
Idioma:
Español
PCHelpWareV2 1.0.0.5 contiene una vulnerabilidad de denegación de servicio que permite a atacantes locales bloquear la aplicación al proporcionar un archivo de imagen malformado. Los atacantes pueden activar la vulnerabilidad a través de la función Create SC al seleccionar un archivo BMP manipulado con un búfer sobredimensionado, lo que provoca el bloqueo de la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026

Vulnerabilidad en Convert Video jetAudio de Jetaudio (CVE-2019-25562)
Fecha de publicación:
21/03/2026
Idioma:
Español
jetAudio 8.1.7 contiene una vulnerabilidad de desbordamiento de búfer en el componente de conversión de video que permite a atacantes locales bloquear la aplicación al proporcionar una cadena de caracteres sobredimensionada en el campo File Naming. Los atacantes pueden pegar un búfer malicioso de 512 bytes en el parámetro File Naming y desencadenar el bloqueo al hacer clic en el botón Preview, causando una denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026
Suscribirse a Vulnerabilidades