Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en docPrint Pro de Verypdf (CVE-2019-25467)
Fecha de publicación:
11/03/2026
Idioma:
Español
Verypdf docPrint Pro 8.0 contiene una vulnerabilidad de desbordamiento de búfer con manejo estructurado de excepciones que permite a atacantes locales ejecutar código arbitrario al proporcionar una carga útil codificada alfanumérica de tamaño excesivo en los campos de Contraseña de Usuario o Contraseña Maestra. Los atacantes pueden crear una carga útil maliciosa con shellcode codificado y manipulación de la cadena SEH para eludir protecciones y ejecutar una prueba de concepto de MessageBox cuando los campos de contraseña se procesan durante el cifrado de PDF.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en NetGain EM Plus de NetGain Systems (CVE-2019-25468)
Fecha de publicación:
11/03/2026
Idioma:
Español
NetGain EM Plus 10.1.68 contiene una vulnerabilidad de ejecución remota de código que permite a atacantes no autenticados ejecutar comandos de sistema arbitrarios mediante el envío de parámetros maliciosos al endpoint script_test.jsp. Los atacantes pueden enviar solicitudes POST con comandos de shell incrustados en el parámetro 'content' para ejecutar código y recuperar la salida del comando.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Folder Lock de Newsoftwares (CVE-2019-25469)
Fecha de publicación:
11/03/2026
Idioma:
Español
Folder Lock 7.7.9 contiene una vulnerabilidad de desbordamiento de búfer en el campo de registro de número de serie que permite a atacantes locales bloquear la aplicación al enviar una carga útil excesivamente grande. Los atacantes pueden pegar un búfer de 6000 bytes de datos arbitrarios en el campo 'Serial Number and Registration Key' para desencadenar una condición de denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en eWON (CVE-2019-25470)
Fecha de publicación:
11/03/2026
Idioma:
Español
Las versiones de firmware de eWON 12.2 a 13.0 contienen una vulnerabilidad de omisión de autenticación que permite a atacantes con privilegios mínimos recuperar datos de usuario sensibles explotando el endpoint wsdReadForm. Los atacantes pueden enviar solicitudes POST a /wrcgi.bin/wsdReadForm con credenciales parciales codificadas en base64 y un parámetro wsdList manipulado para extraer contraseñas cifradas de todos los usuarios, las cuales pueden ser descifradas utilizando una clave XOR codificada de forma fija.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en AVCON6 systems management platform de Epross (CVE-2018-25159)
Fecha de publicación:
11/03/2026
Idioma:
Español
La plataforma de gestión de sistemas Epross AVCON6 contiene una vulnerabilidad de inyección de lenguaje de navegación de grafos de objetos (OGNL) que permite a atacantes no autenticados ejecutar comandos arbitrarios inyectando expresiones OGNL maliciosas. Los atacantes pueden enviar solicitudes manipuladas al endpoint login.action con cargas útiles OGNL en el parámetro redirect para instanciar objetos ProcessBuilder y ejecutar comandos del sistema con privilegios de root.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Nsauditor (CVE-2019-25463)
Fecha de publicación:
11/03/2026
Idioma:
Español
SpotIE Internet Explorer Password Recovery 2.9.5 contiene una vulnerabilidad de denegación de servicio en el campo de entrada de la clave de registro que permite a atacantes locales bloquear la aplicación al introducir una cadena excesivamente larga. Los atacantes pueden pegar una carga útil de 256 caracteres en el campo Key durante el registro para desencadenar un desbordamiento de búfer y bloquear la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en InputMapper de DSD Consulting Services LLC. (CVE-2019-25464)
Fecha de publicación:
11/03/2026
Idioma:
Español
InputMapper 1.6.10 contiene una vulnerabilidad de desbordamiento de búfer en el campo de nombre de usuario que permite a atacantes locales bloquear la aplicación al introducir una cadena excesivamente larga. Los atacantes pueden desencadenar una denegación de servicio al copiar una carga útil grande en el campo de nombre de usuario y hacer doble clic para procesarla, lo que provoca que la aplicación se bloquee.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en HiIpcam de Hisilicon (CVE-2019-25465)
Fecha de publicación:
11/03/2026
Idioma:
Español
Hisilicon HiIpcam V100R003 contiene una vulnerabilidad de salto de directorio que permite a atacantes no autenticados acceder a archivos de configuración sensibles explotando el listado de directorios en el directorio cgi-bin. Los atacantes pueden solicitar el endpoint getadslattr.cgi para recuperar credenciales ADSL y parámetros de configuración de red incluyendo nombres de usuario, contraseñas y configuraciones de DNS.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Easy File Sharing Web Server de Sharing-File (CVE-2019-25466)
Fecha de publicación:
11/03/2026
Idioma:
Español
Easy File Sharing Servidor Web 7.2 contiene una vulnerabilidad local de desbordamiento de búfer de manejo de excepciones estructurado que permite a atacantes locales ejecutar código arbitrario mediante la creación de un nombre de usuario malicioso. Los atacantes pueden elaborar un nombre de usuario con una carga útil que contiene 4059 bytes de relleno seguido de un valor nseh y un puntero seh para activar el desbordamiento al añadir una nueva cuenta de usuario.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en parse-server (CVE-2026-31875)
Fecha de publicación:
11/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.7 y 8.6.33, cuando la autenticación multifactor (MFA) vía TOTP está habilitada para una cuenta de usuario, Parse Server genera dos códigos de recuperación de un solo uso. Estos códigos están destinados como un mecanismo de respaldo cuando el usuario no puede proporcionar un token TOTP. Sin embargo, los códigos de recuperación no se consumen después de su uso, permitiendo que el mismo código de recuperación sea utilizado un número ilimitado de veces. Esto anula el diseño de un solo uso de los códigos de recuperación y debilita la seguridad de las cuentas protegidas por MFA. Un atacante que obtiene un solo código de recuperación puede autenticarse repetidamente como el usuario afectado sin que el código sea invalidado. Esta vulnerabilidad está corregida en 9.6.0-alpha.7 y 8.6.33.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/03/2026

Vulnerabilidad en Cloud CLI (CVE-2026-31975)
Fecha de publicación:
11/03/2026
Idioma:
Español
Cloud CLI (también conocida como Claude Code UI) es una interfaz de usuario de escritorio y móvil para Claude Code, Cursor CLI, Codex y Gemini-CLI. Antes de la versión 1.25.0, existía una inyección de comandos del sistema operativo (OS Command Injection) a través de WebSocket Shell. Tanto projectPath como initialCommand en servidor/index.js se toman directamente de la carga útil del mensaje de WebSocket y se interpolan en una cadena de comandos bash sin ninguna sanitización, lo que permite la ejecución arbitraria de comandos del sistema operativo. Existe un vector de inyección secundario a través de un sessionId no sanitizado. Esta vulnerabilidad se corrige en la versión 1.25.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
20/03/2026

Vulnerabilidad en parse-server (CVE-2026-31872)
Fecha de publicación:
11/03/2026
Idioma:
Español
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.6 y 8.6.32, el permiso a nivel de clase (CLP) protectedFields puede ser eludido usando la notación de puntos en cláusulas WHERE de consulta y parámetros de ordenación. Un atacante puede usar la notación de puntos para consultar u ordenar por subcampos de un campo protegido, lo que permite un ataque de oráculo binario para enumerar los valores de los campos protegidos. Esto afecta tanto a las implementaciones de MongoDB como de PostgreSQL. Esta vulnerabilidad está corregida en 9.6.0-alpha.6 y 8.6.32.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/03/2026
Suscribirse a Vulnerabilidades