Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cuckoo Clock de Parallaxis (CVE-2020-37159)
Fecha de publicación:
07/02/2026
Idioma:
Español
Parallaxis Cuckoo Clock 5.0 contiene una vulnerabilidad de desbordamiento de búfer que permite a los atacantes ejecutar código arbitrario sobrescribiendo registros de memoria en la función de programación de alarmas. Los atacantes pueden crear una carga útil maliciosa que exceda los 260 bytes para sobrescribir EIP y EBP, lo que permite la ejecución de shellcode con potencial ejecución remota de código.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Business Live Chat Software de Bdtask (CVE-2020-37106)
Fecha de publicación:
07/02/2026
Idioma:
Español
El software de chat en vivo para empresas 1.0 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes cambiar los roles de las cuentas de usuario sin autenticación. Los atacantes pueden elaborar un formulario HTML malicioso para modificar los privilegios de usuario enviando una petición POST al endpoint de creación de usuarios con parámetros de acceso administrativo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Core FTP LE de Core FTP (CVE-2020-37107)
Fecha de publicación:
07/02/2026
Idioma:
Español
Core FTP LE 2.2 contiene una vulnerabilidad de denegación de servicio que permite a los atacantes bloquear la aplicación sobrescribiendo el campo de cuenta con un búfer grande. Los atacantes pueden crear un archivo de texto con 20.000 caracteres repetidos y pegarlo en el campo de cuenta para hacer que la aplicación deje de responder y requiera una reinstalación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en aSc TimeTables de asc Applied Software Consultants (CVE-2020-37109)
Fecha de publicación:
07/02/2026
Idioma:
Español
aSc TimeTables 2020.11.4 contiene una vulnerabilidad de denegación de servicio que permite a los atacantes bloquear la aplicación sobrescribiendo el campo Subject title con un búfer grande. Los atacantes pueden generar un búfer de 1000 caracteres y pegarlo en el Subject title para provocar un bloqueo de la aplicación y una posible inestabilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en FTP Password Recover de Nsauditor (CVE-2020-37122)
Fecha de publicación:
07/02/2026
Idioma:
Español
SpotFTP-FTP Password Recover 2.4.8 contiene una vulnerabilidad de denegación de servicio que permite a los atacantes colapsar la aplicación generando un gran desbordamiento de búfer. Los atacantes pueden crear un archivo de texto con 1000 caracteres 'Z' e introducirlo como código de registro para desencadenar el colapso de la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en AMSS++ de Amssplus (CVE-2020-37135)
Fecha de publicación:
07/02/2026
Idioma:
Español
AMSS++ 4.7 contiene una vulnerabilidad de omisión de autenticación que permite a los atacantes acceder a cuentas administrativas utilizando credenciales codificadas de forma rígida. Los atacantes pueden iniciar sesión con el nombre de usuario de administrador predeterminado y la contraseña '1234' para obtener acceso administrativo no autorizado al sistema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en AMSS++ (CVE-2020-37141)
Fecha de publicación:
07/02/2026
Idioma:
Español
AMSS++ versión 4.31 contiene una vulnerabilidad de inyección SQL en el script maildetail.php del módulo de correo a través del parámetro 'id'. Los atacantes pueden manipular el parámetro 'id' en /modules/mail/main/maildetail.php para inyectar consultas SQL maliciosas y potencialmente acceder o modificar el contenido de la base de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Wing FTP Server (CVE-2020-37079)
Fecha de publicación:
07/02/2026
Idioma:
Español
Versiones de Wing FTP Server anteriores a la 6.2.7 contienen una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en la interfaz de administración web que permite a los atacantes eliminar usuarios administradores. Los atacantes pueden crear una página HTML maliciosa con un formulario oculto para enviar una petición que elimina la cuenta de usuario administrativo sin la autorización adecuada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/02/2026

Vulnerabilidad en Cyberoam Authentication Client de Cyberoam (CVE-2020-37095)
Fecha de publicación:
07/02/2026
Idioma:
Español
El Cliente de Autenticación Cyberoam 2.1.2.7 contiene una vulnerabilidad de desbordamiento de búfer que permite a atacantes remotos ejecutar código arbitrario sobrescribiendo la memoria del Manejador de Excepciones Estructuradas (SEH). Los atacantes pueden crear una entrada maliciosa en el campo 'Cyberoam Server Address' para activar una shell TCP de enlace en el puerto 1337 con acceso a nivel de sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Antrea de Antrea-io (CVE-2026-25804)
Fecha de publicación:
06/02/2026
Idioma:
Español
Antrea es una solución de red de Kubernetes diseñada para ser nativa de Kubernetes. Antes de las versiones 2.3.2 y 2.4.3, el sistema de asignación de prioridad de políticas de red de Antrea tiene un error de desbordamiento aritmético uint16 que causa cálculos incorrectos de prioridad de OpenFlow al manejar un gran número de políticas con varios valores de prioridad. Esto resulta en una aplicación de tráfico potencialmente incorrecta. Este problema ha sido parcheado en la versión 2.4.3.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/02/2026

Vulnerabilidad en ?? 520W de UTT (CVE-2026-2070)
Fecha de publicación:
06/02/2026
Idioma:
Español
Se ha encontrado una vulnerabilidad en UTT ?? 520W 1.7.7-180627. El elemento afectado es la función strcpy del archivo /goform/formPolicyRouteConf. Dicha manipulación del argumento GroupName conduce a un desbordamiento de búfer. El ataque puede ser ejecutado de forma remota. El exploit ha sido divulgado al público y puede ser utilizado. Se contactó con el proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: ALTA
Última modificación:
13/02/2026

Vulnerabilidad en Vim (CVE-2026-25749)
Fecha de publicación:
06/02/2026
Idioma:
Español
Vim es un editor de texto de código abierto de línea de comandos. Antes de la versión 9.1.2132, existe una vulnerabilidad de desbordamiento de búfer de pila en la lógica de resolución de archivos de etiquetas de Vim al procesar la opción 'helpfile'. La vulnerabilidad se encuentra en la función get_tagfname() en src/tag.c. Al procesar etiquetas de archivos de ayuda, Vim copia el valor de la opción 'helpfile' controlado por el usuario en un búfer de pila de tamaño fijo de MAXPATHL + 1 bytes (típicamente 4097 bytes) utilizando una operación STRCPY() insegura sin ninguna comprobación de límites. Este problema ha sido parcheado en la versión 9.1.2132.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2026
Suscribirse a Vulnerabilidades