Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Wedding Slideshow Studio (CVE-2020-37162)
Fecha de publicación:
07/02/2026
Idioma:
Español
Wedding Slideshow Studio 1.36 contiene una vulnerabilidad de desbordamiento de búfer en la entrada de la clave de registro que permite a los atacantes ejecutar código arbitrario sobrescribiendo la memoria. Los atacantes pueden elaborar una carga útil maliciosa de 1608 bytes para desencadenar un desbordamiento de búfer basado en pila y ejecutar comandos a través del campo de la clave de registro.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en QuickDate (CVE-2020-37163)
Fecha de publicación:
07/02/2026
Idioma:
Español
QuickDate 1.3.2 contiene una vulnerabilidad de inyección SQL que permite a atacantes remotos manipular consultas de la base de datos a través del parámetro '_located' en el endpoint find_matches. Los atacantes pueden inyectar sentencias SQL basadas en UNION para extraer información de la base de datos, incluyendo credenciales de usuario, nombre de la base de datos y versión del sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en AbsoluteTelnet de Celestial Software (CVE-2020-37164)
Fecha de publicación:
07/02/2026
Idioma:
Español
AbsoluteTelnet 11.12 contiene una vulnerabilidad de denegación de servicio que permite a atacantes locales bloquear la aplicación al proporcionar un nombre de licencia sobredimensionado. Los atacantes pueden generar una carga útil de 2500 caracteres y pegarla en el campo de entrada de licencia para desencadenar un bloqueo de la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en AbsoluteTelnet de Celestial Software (CVE-2020-37165)
Fecha de publicación:
07/02/2026
Idioma:
Español
AbsoluteTelnet 11.12 contiene una vulnerabilidad de denegación de servicio que permite a atacantes locales bloquear la aplicación al proporcionar un nombre de licencia excesivamente largo. Los atacantes pueden generar una carga útil de 2500 caracteres y pegarla en el campo del nombre de licencia para provocar un bloqueo de la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/02/2026

Vulnerabilidad en HD ACE Security WiP-90113 (CVE-2020-37146)
Fecha de publicación:
07/02/2026
Idioma:
Español
La cámara HD ACE Security WiP-90113 contiene una vulnerabilidad de divulgación de configuración que permite a atacantes no autenticados recuperar archivos de configuración sensibles. Los atacantes pueden acceder a la copia de seguridad de la configuración de la cámara enviando una solicitud GET al endpoint /config_backup.bin, exponiendo credenciales y configuraciones del sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en ATutor (CVE-2020-37147)
Fecha de publicación:
07/02/2026
Idioma:
Español
ATutor 2.2.4 contiene una vulnerabilidad de inyección SQL en la página de eliminación de usuarios administradores que permite a atacantes autenticados manipular consultas de base de datos a través del parámetro 'id'. Los atacantes pueden explotar la vulnerabilidad inyectando código SQL malicioso en el parámetro 'id' del script admin_delete.php para potencialmente extraer o modificar información de la base de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en eLection de Tripath Project (CVE-2020-37154)
Fecha de publicación:
07/02/2026
Idioma:
Español
eLection 2.0 contiene una vulnerabilidad de inyección SQL autenticada en el endpoint de gestión de candidatos que permite a los atacantes manipular consultas de la base de datos a través del parámetro 'id'. Los atacantes pueden aprovechar SQLMap para explotar la vulnerabilidad, potencialmente obteniendo ejecución remota de código al subir archivos de puerta trasera al directorio de la aplicación web.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en Core FTP Lite de Core FTP (CVE-2020-37155)
Fecha de publicación:
07/02/2026
Idioma:
Español
Core FTP Lite 1.3 contiene una vulnerabilidad de desbordamiento de búfer en el campo de entrada del nombre de usuario que permite a los atacantes bloquear la aplicación al proporcionar una entrada excesivamente grande. Los atacantes pueden generar una carga útil de 7000 bytes de caracteres 'A' repetidos para provocar un bloqueo de la aplicación sin requerir interacción adicional.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026

Vulnerabilidad en DBPower C300 HD Camera de DBPower (CVE-2020-37157)
Fecha de publicación:
07/02/2026
Idioma:
Español
La cámara DBPower C300 HD contiene una vulnerabilidad de divulgación de configuración que permite a atacantes no autenticados recuperar credenciales sensibles a través de un punto final de copia de seguridad de configuración no protegido. Los atacantes pueden descargar el archivo de configuración y extraer el nombre de usuario y la contraseña codificados al acceder al recurso /tmpfs/config_backup.bin.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en Cuckoo Clock de Parallaxis (CVE-2020-37159)
Fecha de publicación:
07/02/2026
Idioma:
Español
Parallaxis Cuckoo Clock 5.0 contiene una vulnerabilidad de desbordamiento de búfer que permite a los atacantes ejecutar código arbitrario sobrescribiendo registros de memoria en la función de programación de alarmas. Los atacantes pueden crear una carga útil maliciosa que exceda los 260 bytes para sobrescribir EIP y EBP, lo que permite la ejecución de shellcode con potencial ejecución remota de código.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/02/2026

Vulnerabilidad en Business Live Chat Software de Bdtask (CVE-2020-37106)
Fecha de publicación:
07/02/2026
Idioma:
Español
El software de chat en vivo para empresas 1.0 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes cambiar los roles de las cuentas de usuario sin autenticación. Los atacantes pueden elaborar un formulario HTML malicioso para modificar los privilegios de usuario enviando una petición POST al endpoint de creación de usuarios con parámetros de acceso administrativo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026

Vulnerabilidad en Core FTP LE de Core FTP (CVE-2020-37107)
Fecha de publicación:
07/02/2026
Idioma:
Español
Core FTP LE 2.2 contiene una vulnerabilidad de denegación de servicio que permite a los atacantes bloquear la aplicación sobrescribiendo el campo de cuenta con un búfer grande. Los atacantes pueden crear un archivo de texto con 20.000 caracteres repetidos y pegarlo en el campo de cuenta para hacer que la aplicación deje de responder y requiera una reinstalación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
09/02/2026
Suscribirse a Vulnerabilidades