Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-53770
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** MiniDVBLinux 5.4 contains an unauthenticated configuration download vulnerability that allows remote attackers to access sensitive system configuration files through a direct object reference. Attackers can exploit the backup download endpoint by sending a GET request with 'action=getconfig' to retrieve a complete system configuration archive containing sensitive credentials.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/12/2025

CVE-2021-47727
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Selea Targa IP OCR-ANPR Camera contains an unauthenticated vulnerability that allows remote attackers to access live video streams without authentication. Attackers can directly connect to RTP/RTSP or M-JPEG streams by requesting specific endpoints like p1.mjpg or p1.264 to view camera footage.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/12/2025

CVE-2021-47728
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Selea Targa IP OCR-ANPR Camera contains an unauthenticated command injection vulnerability in utils.php that allows remote attackers to execute arbitrary shell commands. Attackers can exploit the 'addr' and 'port' parameters to inject commands and gain www-data user access through chained local file inclusion techniques.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/12/2025

CVE-2021-47729
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Selea Targa IP OCR-ANPR Camera contains a stored cross-site scripting vulnerability in the 'files_list' parameter that allows attackers to inject malicious HTML and script code. Attackers can send a POST request to /cgi-bin/get_file.php with crafted payload to execute arbitrary scripts in victim's browser session.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/12/2025

CVE-2021-47730
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Selea Targa IP OCR-ANPR Camera contains a cross-site request forgery vulnerability that allows attackers to create administrative users without authentication. Attackers can craft a malicious web page that submits a form to add a new admin user with full system privileges when a logged-in user visits the page.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/12/2025

CVE-2021-47731
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Selea Targa IP OCR-ANPR Camera contains a hard-coded developer password vulnerability that allows unauthorized configuration access through an undocumented page. Attackers can exploit the hidden endpoint by using the hard-coded password 'Selea781830' to enable configuration upload and overwrite device settings.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/12/2025

CVE-2023-53739
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** Tinycontrol LAN Controller v3 LK3 version 1.58a contains an unauthenticated vulnerability that allows remote attackers to download configuration backup files containing sensitive credentials. Attackers can retrieve the lk3_settings.bin file and extract base64-encoded user and admin passwords without authentication.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
12/12/2025

CVE-2021-47718
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** OpenBMCS 2.4 contains an information disclosure vulnerability that allows unauthenticated attackers to access sensitive files by exploiting directory listing functionality. Attackers can browse directories like /debug/ and /php/ to discover configuration files, database credentials, and system information.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/12/2025

CVE-2021-47710
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** COMMAX Smart Home System is a smart IoT home solution that allows an unauthenticated attacker to disclose RTSP credentials in plain-text by exploiting the /overview.asp endpoint. Attackers can access sensitive information, including login credentials and DVR settings, by submitting a GET request to this endpoint.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/12/2025

CVE-2021-47717
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** IntelliChoice eFORCE Software Suite 2.5.9 contains a username enumeration vulnerability that allows attackers to enumerate valid users by exploiting the 'ctl00$MainContent$UserName' POST parameter. Attackers can send requests with valid usernames to retrieve user information.
Gravedad CVSS v4.0: MEDIA
Última modificación:
12/12/2025

CVE-2021-47719
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** COMMAX WebViewer ActiveX Control 2.1.4.5 contains a buffer overflow vulnerability that allows attackers to execute arbitrary code by providing excessively long string arrays through multiple functions. Attackers can exploit boundary errors in Commax_WebViewer.ocx to cause buffer overflow conditions and potentially gain code execution.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/12/2025

CVE-2021-47724
Fecha de publicación:
09/12/2025
Idioma:
Inglés
*** Pendiente de traducción *** STVS ProVision 5.9.10 contains a path traversal vulnerability that allows authenticated attackers to access arbitrary files by manipulating the files parameter in the archive download functionality. Attackers can send GET requests to /archive/download with directory traversal sequences to read sensitive system files like /etc/passwd.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/02/2026
Suscribirse a Vulnerabilidades