Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en CODE::BLOCKS (CVE-2020-37121)
Fecha de publicación:
05/02/2026
Idioma:
Español
CODE::BLOCKS 16.01 contiene una vulnerabilidad de desbordamiento de búfer que permite a los atacantes ejecutar código arbitrario sobrescribiendo Structured Exception Handler con caracteres Unicode manipulados. Los atacantes pueden crear un archivo de lista de reproducción M3U malicioso con 536 bytes de búfer y shellcode para desencadenar la ejecución remota de código.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en Pinger (CVE-2020-37123)
Fecha de publicación:
05/02/2026
Idioma:
Español
Pinger 1.0 contiene una vulnerabilidad de ejecución remota de código que permite a los atacantes inyectar comandos de shell a través de los parámetros ping y socket. Los atacantes pueden explotar la entrada no saneada en ping.php para escribir archivos PHP arbitrarios y ejecutar comandos del sistema añadiendo metacaracteres de shell.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
05/02/2026

Vulnerabilidad en jizhiCMS (CVE-2020-37117)
Fecha de publicación:
05/02/2026
Idioma:
Español
jizhiCMS 1.6.7 contiene una vulnerabilidad de descarga de archivos en el endpoint de actualización de plugins de administrador que permite a los administradores autenticados descargar archivos arbitrarios. Los atacantes pueden explotar la vulnerabilidad enviando solicitudes POST manipuladas con parámetros filepath y download_url maliciosos para desencadenar descargas de archivos no autorizadas.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en Axigen Mail Server (CVE-2025-68721)
Fecha de publicación:
05/02/2026
Idioma:
Español
Axigen Mail Server antes de 10.5.57 contiene una vulnerabilidad de control de acceso incorrecto en la interfaz WebAdmin. Una cuenta de administrador delegado con cero permisos puede eludir las comprobaciones de control de acceso y obtener acceso no autorizado al punto final de gestión de certificados SSL (page=sslcerts). Esto permite al atacante ver, descargar, cargar y eliminar archivos de certificados SSL, a pesar de carecer de los privilegios necesarios para acceder a la sección de Seguridad y Filtrado.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en Axigen Mail Server (CVE-2025-68722)
Fecha de publicación:
05/02/2026
Idioma:
Español
Axigen Mail Server antes de 10.5.57 y 10.6.x antes de 10.6.26 contiene una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en la interfaz WebAdmin debido a un manejo inadecuado del parámetro _s (breadcrumb). La aplicación acepta peticiones que cambian el estado a través del método GET y procesa automáticamente comandos codificados en base64 en cola en el parámetro _s inmediatamente después de la autenticación del administrador. Los atacantes pueden crear URL maliciosas que, cuando son clicadas por administradores, ejecutan acciones administrativas arbitrarias al iniciar sesión sin interacción adicional del usuario, incluyendo la creación de cuentas de administrador maliciosas o la modificación de configuraciones críticas del servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en phpMyChat Plus de Ciprianmp (CVE-2020-37151)
Fecha de publicación:
05/02/2026
Idioma:
Español
phpMyChat Plus 1.98 contiene una vulnerabilidad de inyección SQL en la página deluser.php a través del parámetro pmc_username que permite a los atacantes manipular consultas de base de datos. Los atacantes pueden explotar técnicas de inyección SQL ciega basadas en booleanos, basadas en errores y basadas en tiempo para extraer información sensible de la base de datos mediante la creación de cargas útiles maliciosas en el campo de nombre de usuario.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/02/2026

Vulnerabilidad en Greenshift (CVE-2026-1927)
Fecha de publicación:
05/02/2026
Idioma:
Español
El plugin Greenshift – bloques de animación y constructor de páginas para WordPress es vulnerable a acceso no autorizado a datos debido a una comprobación de capacidad faltante en la función greenshift_app_pass_validation() en todas las versiones hasta la 12.5.7, ambas inclusive. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, recuperen configuraciones globales del plugin, incluyendo claves API de IA almacenadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/03/2026

Vulnerabilidad en IBM (CVE-2025-14150)
Fecha de publicación:
05/02/2026
Idioma:
Español
IBM webMethods Integration (en las instalaciones) - Servidor de Integración 10.15 desde IS_10.15_Core_Fix2411.1 hasta IS_11.1_Core_Fix8 IBM webMethods Integration podría divulgar información sensible del usuario en las respuestas del servidor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en Digitek ADT1100 y Digitek DT950 de PRIMION DIGITEK, S.L.U (CVE-2026-1523)
Fecha de publicación:
05/02/2026
Idioma:
Español
Vulnerabilidad de recorrido de rutas en Digitek ADT1100 y Digitek DT950 de PRIMION DIGITEK, S.L.U (Grupo Azkoyen). Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el sistema de archivos del servidor, es decir, 'http:///..%2F..% 2F..%2F..%2F..% 2F..%2F..%2F..%2F..%2Fetc%2 Fpasswd'. Al manipular la entrada para incluir secuencias de recorrido de directorios codificadas en URL (por ejemplo, %2F que representa /), un atacante puede eludir los mecanismos de validación de entradas y recuperar archivos confidenciales fuera del directorio previsto, lo que podría dar lugar a la divulgación de información o a un mayor compromiso del sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
05/02/2026

Vulnerabilidad en Aspera Console de IBM (CVE-2025-13379)
Fecha de publicación:
05/02/2026
Idioma:
Español
IBM Aspera Console 3.4.0 hasta 3.4.8 es vulnerable a inyección SQL. Un atacante remoto podría enviar sentencias SQL especialmente diseñadas, lo que podría permitir al atacante ver, añadir, modificar o eliminar información en la base de datos de back-end.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2026

Vulnerabilidad en IBM (CVE-2025-13491)
Fecha de publicación:
05/02/2026
Idioma:
Español
IBM App Connect Enterprise Contenedor Certificado hasta 12.19.0 (Continuous Delivery) y 12.0 LTS (Long Term Support) podría permitir a un atacante acceder a archivos sensibles o modificar configuraciones debido a una ruta de búsqueda no confiable.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2026

Vulnerabilidad en YugabyteDB Anywhere de YugabyteDB Inc (CVE-2026-1966)
Fecha de publicación:
05/02/2026
Idioma:
Español
YugabyteDB Anywhere muestra las contraseñas de enlace LDAP configuradas a través de gflags en texto claro dentro de la interfaz de usuario web. Un usuario autenticado con acceso a la vista de configuración podría obtener las credenciales LDAP, lo que podría permitir el acceso no autorizado a servicios de directorio externos.
Gravedad CVSS v4.0: BAJA
Última modificación:
05/02/2026
Suscribirse a Vulnerabilidades