Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en NetStat Pro (CVE-2019-25637)
Fecha de publicación:
24/03/2026
Idioma:
Español
X-NetStat Pro 5.63 contiene una vulnerabilidad local de desbordamiento de búfer que permite a atacantes locales ejecutar código arbitrario sobrescribiendo el registro EIP mediante un desbordamiento de búfer de 264 bytes. Los atacantes pueden inyectar shellcode en la memoria y usar una técnica de egg hunter para localizar y ejecutar la carga útil cuando la aplicación procesa una entrada maliciosa a través de la funcionalidad de Cliente HTTP o Reglas.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en Meeplace Business Review Script (CVE-2019-25638)
Fecha de publicación:
24/03/2026
Idioma:
Español
Meeplace Business Review Script contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través del parámetro 'id'. Los atacantes pueden enviar solicitudes GET al endpoint addclick.PHP con payloads SQL manipulados en el parámetro 'id' para extraer información sensible de la base de datos o causar denegación de servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en Matrimony Website Script (CVE-2019-25639)
Fecha de publicación:
24/03/2026
Idioma:
Español
Script de Sitio Web de Matrimonio M-Plus contiene múltiples vulnerabilidades de inyección SQL que permiten a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través de varios parámetros POST. Los atacantes pueden inyectar cargas útiles SQL maliciosas en parámetros como txtGender, religion, Fage y cboCountry en simplesearch_results.php, advsearch_results.php, specialcase_results.php, locational_results.php y registration2.php para extraer información sensible de la base de datos o ejecutar comandos SQL arbitrarios.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en AIDA64 Business (CVE-2019-25631)
Fecha de publicación:
24/03/2026
Idioma:
Español
AIDA64 Business 5.99.4900 contiene una vulnerabilidad de desbordamiento de búfer de manejo de excepciones estructurado que permite a atacantes locales ejecutar código arbitrario sobrescribiendo punteros SEH con shellcode malicioso. Los atacantes pueden inyectar shellcode egg hunter a través del campo de nombre para mostrar de SMTP en las preferencias o la funcionalidad del asistente de informes para activar el desbordamiento y ejecutar código con privilegios de aplicación.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/03/2026

Vulnerabilidad en PhreeBooks ERP (CVE-2019-25630)
Fecha de publicación:
24/03/2026
Idioma:
Español
PhreeBooks ERP 5.2.3 contiene una vulnerabilidad de carga arbitraria de archivos en el componente Image Manager que permite a atacantes autenticados cargar archivos maliciosos enviando solicitudes al endpoint de carga de imágenes. Los atacantes pueden cargar archivos PHP a través del parámetro imgFile al endpoint bizuno/image/manager y ejecutarlos mediante el script bizunoFS.php para ejecución remota de código.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en phpFileManager (CVE-2019-25632)
Fecha de publicación:
24/03/2026
Idioma:
Español
phpFileManager 1.7.8 contiene una vulnerabilidad de inclusión local de ficheros que permite a atacantes no autenticados leer ficheros arbitrarios manipulando los parámetros action, fm_current_dir y filename. Los atacantes pueden enviar peticiones GET a index.php con valores de parámetros manipulados para acceder a ficheros sensibles como /etc /passwd del servidor.
Gravedad CVSS v4.0: MEDIA
Última modificación:
25/03/2026

Vulnerabilidad en AIDA64 Extreme (CVE-2019-25633)
Fecha de publicación:
24/03/2026
Idioma:
Español
AIDA64 Extreme 5.99.4900 contiene una vulnerabilidad de desbordamiento de búfer de manejo estructurado de excepciones que permite a atacantes locales ejecutar código arbitrario al suministrar entrada maliciosa a través de las interfaces de preferencias de correo electrónico y asistente de informes. Los atacantes pueden inyectar cargas útiles manipuladas en el campo Display name y el parámetro Load from file para activar el desbordamiento y ejecutar shellcode con privilegios de aplicación.
Gravedad CVSS v4.0: ALTA
Última modificación:
26/03/2026

Vulnerabilidad en AIDA64 Extreme (CVE-2019-25629)
Fecha de publicación:
24/03/2026
Idioma:
Español
AIDA64 Extreme 5.99.4900 contiene una vulnerabilidad de desbordamiento de búfer en el gestor de excepciones estructuradas en la funcionalidad de registro que permite a atacantes locales ejecutar código arbitrario al proporcionar una ruta de archivo de registro CSV maliciosa. Los atacantes pueden inyectar shellcode a través de las preferencias de registro de Monitorización de Hardware para desbordar el búfer y desencadenar la ejecución de código cuando la aplicación procesa la ruta del archivo de registro.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/03/2026

Vulnerabilidad en River Past Cam Do de Flexhex (CVE-2019-25626)
Fecha de publicación:
24/03/2026
Idioma:
Español
River Past Cam Do 3.7.6 contiene una vulnerabilidad local de desbordamiento de búfer en el campo de entrada del código de activación que permite a atacantes locales ejecutar código arbitrario al proporcionar una cadena de código de activación maliciosa. Los atacantes pueden crear un búfer que contenga 608 bytes de datos basura seguidos de shellcode y valores de sobrescritura de la cadena SEH para desencadenar la ejecución de código cuando el diálogo de activación procesa la entrada.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en FlexHEX (CVE-2019-25627)
Fecha de publicación:
24/03/2026
Idioma:
Español
FlexHEX 2.71 contiene una vulnerabilidad local de desbordamiento de búfer en el campo Stream Name que permite a atacantes locales ejecutar código arbitrario al desencadenar un desbordamiento del gestor de excepciones estructuradas (SEH). Los atacantes pueden crear un archivo de texto malicioso con shellcode y punteros de cadena SEH cuidadosamente alineados, pegar el contenido en el diálogo Stream Name, y ejecutar comandos arbitrarios como calc.exe cuando se desencadena el gestor de excepciones.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en Download Accelerator Plus DAP (CVE-2019-25628)
Fecha de publicación:
24/03/2026
Idioma:
Español
Download Accelerator Plus DAP 10.0.6.0 contiene una vulnerabilidad de desbordamiento de búfer en el gestor de excepciones estructuradas que permite a atacantes remotos ejecutar código arbitrario mediante la creación de URL maliciosas. Los atacantes pueden crear URL especialmente diseñadas con datos de búfer desbordados que sobrescriben los punteros SEH y ejecutan shellcode incrustado cuando se importa a través de la funcionalidad de importación de páginas web de la aplicación.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
24/03/2026

Vulnerabilidad en KNIME Business Hub de KNIME (CVE-2026-4649)
Fecha de publicación:
24/03/2026
Idioma:
Español
Apache Artemis anterior a la versión 2.52.0 está afectado por una falla de omisión de autenticación que permite leer todos los mensajes intercambiados a través del bróker e inyección de nuevos mensajes ( CVE-2026-27446 https://www.cve.org/CVERecord ). Dado que KNIME Business Hub utiliza Apache Artemis, también está afectado por el problema. Sin embargo, dado que Apache Artemis no está expuesto al exterior, requiere al menos privilegios de usuario normal y la capacidad de ejecutar flujos de trabajo en un ejecutor. Dicho usuario puede instalar y registrar un espejo federado sin autenticación a la instancia original de Apache Artemis y así leer todos los mensajes internos e inyectar nuevos mensajes.<br /> <br /> El problema afecta a todas las versiones de KNIME Business Hub. Una versión corregida de Apache Artemis se envía con las versiones 1.18.0, 1.17.4 y 1.16.3.<br /> <br /> Recomendamos actualizar a una versión corregida lo antes posible, ya que no se conoce ninguna solución alternativa.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/03/2026
Suscribirse a Vulnerabilidades