Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Alienor Web Libre de Alienor (CVE-2018-25175)
Fecha de publicación:
06/03/2026
Idioma:
Español
Alienor Web Libre 2.0 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través del parámetro identifiant. Los atacantes pueden enviar solicitudes POST manipuladas a index.php con cargas útiles de inyección SQL en el campo identifiant para extraer información sensible de la base de datos, incluyendo nombres de usuario, bases de datos y detalles de la versión.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Alive Parish de Demo (CVE-2018-25176)
Fecha de publicación:
06/03/2026
Idioma:
Español
Alive Parish 2.0.4 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través del parámetro key en el endpoint de búsqueda. Los atacantes también pueden subir archivos arbitrarios a través de la funcionalidad de carga de fotos de personas al directorio images/uploaded para la ejecución remota de código.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Data Center Audit de Sourceforge (CVE-2018-25177)
Fecha de publicación:
06/03/2026
Idioma:
Español
Data Center Audit 2.6.2 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes restablecer contraseñas de administrador sin autenticación mediante el envío de solicitudes POST manipuladas. Los atacantes pueden enviar solicitudes a dca_resetpw.php con los parámetros updateuser, pass, pass2 y submit_reset para cambiar la contraseña de la cuenta de administrador y obtener acceso administrativo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en AMPPS de Ampps (CVE-2018-25169)
Fecha de publicación:
06/03/2026
Idioma:
Español
AMPPS 2.7 contiene una vulnerabilidad de denegación de servicio que permite a atacantes remotos colapsar el servicio enviando datos malformados al puerto HTTP predeterminado. Los atacantes pueden establecer múltiples conexiones de socket y transmitir cargas útiles no válidas para agotar los recursos del servidor y causar la indisponibilidad del servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en DoceboLMS de Spaghettilearning (CVE-2018-25170)
Fecha de publicación:
06/03/2026
Idioma:
Español
DoceboLMS 1.2 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de la base de datos inyectando código SQL a través de los parámetros id, idC e idU. Los atacantes pueden enviar solicitudes GET al endpoint lesson.php con cargas útiles SQL maliciosas para extraer información sensible de la base de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en EdTv de Edtv (CVE-2018-25171)
Fecha de publicación:
06/03/2026
Idioma:
Español
EdTv 2 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través del parámetro 'id'. Los atacantes pueden enviar solicitudes GET al endpoint admin/edit_source con sentencias SQL UNION manipuladas para extraer información de la base de datos, incluyendo nombres de esquemas, credenciales de usuario y detalles de la versión.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Pedidos de Obedalvarado (CVE-2018-25172)
Fecha de publicación:
06/03/2026
Idioma:
Español
Pedidos 1.0 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través del parámetro 'q'. Los atacantes pueden enviar solicitudes GET al endpoint ajax/load_proveedores.PHP con cargas útiles SQL manipuladas para extraer información sensible de la base de datos, incluyendo nombres de esquemas y estructuras de tablas.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Rmedia SMS de Sms (CVE-2018-25173)
Fecha de publicación:
06/03/2026
Idioma:
Español
Rmedia SMS 1.0 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados extraer información de la base de datos inyectando código SQL a través del parámetro gid. Los atacantes pueden enviar solicitudes GET a editgrp.php con valores gid maliciosos utilizando las funciones EXTRACTVALUE y CONCAT para recuperar nombres de esquemas y datos sensibles de la base de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en EverSync de Phpmassmail (CVE-2018-25164)
Fecha de publicación:
06/03/2026
Idioma:
Español
EverSync 0.5 contiene una vulnerabilidad de descarga arbitraria de archivos que permite a atacantes no autenticados acceder a archivos sensibles solicitándolos directamente del directorio 'files'. Los atacantes pueden enviar solicitudes GET al directorio 'files' para descargar archivos de base de datos como db.sq3 que contienen datos de la aplicación y credenciales.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Galaxy Forces MMORPG de Galaxy (CVE-2018-25165)
Fecha de publicación:
06/03/2026
Idioma:
Español
Galaxy Forces MMORPG 0.5.8 contiene una vulnerabilidad de inyección SQL que permite a atacantes autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través del parámetro 'type'. Los atacantes pueden enviar solicitudes POST a ads.php con cargas útiles SQL manipuladas en el parámetro type para extraer información sensible de la base de datos, incluyendo nombres de usuario, bases de datos y detalles de la versión.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Meneame English Pligg de Sourceforge (CVE-2018-25166)
Fecha de publicación:
06/03/2026
Idioma:
Español
Meneame English Pligg 5.8 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través del parámetro de búsqueda. Los atacantes pueden enviar solicitudes GET a index.php con cargas útiles SQL manipuladas en el parámetro de búsqueda para extraer información sensible de la base de datos, incluyendo nombres de usuario, nombres de base de datos y detalles de la versión.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Billetterie de Net-Billetterie (CVE-2018-25167)
Fecha de publicación:
06/03/2026
Idioma:
Español
Net-Billetterie 2.9 contiene una vulnerabilidad de inyección SQL en el parámetro login de login.inc.php que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias. Los atacantes pueden enviar código SQL malicioso a través del parámetro POST login para extraer información de la base de datos, incluyendo nombres de usuario, contraseñas y credenciales del sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades