Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Omnispace Agora Project (CVE-2025-67077)
Fecha de publicación:
15/01/2026
Idioma:
Español
Vulnerabilidad de carga de archivos en Omnispace Agora Project anterior a 25.10 permitiendo a usuarios autenticados, o bajo ciertas condiciones también a usuarios invitados, a través de la acción UploadTmpFile.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2026

Vulnerabilidad en Omnispace Agora Project (CVE-2025-67078)
Fecha de publicación:
15/01/2026
Idioma:
Español
Vulnerabilidad de cross site scripting (XSS) en Omnispace Agora Project anterior a 25.10 que permite a los atacantes ejecutar código arbitrario a través del parámetro notify del controlador de archivos utilizado para mostrar errores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/03/2026

Vulnerabilidad en Omnispace Agora Project (CVE-2025-67079)
Fecha de publicación:
15/01/2026
Idioma:
Español
Vulnerabilidad de carga de archivos en Omnispace Agora Project anterior a 25.10 permitiendo a los atacantes ejecutar código a través del motor MSL de la biblioteca Imagick mediante un archivo PDF manipulado a las funciones de carga de archivos y miniaturas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2026

Vulnerabilidad en Cyberfox Web Browser (CVE-2021-47784)
Fecha de publicación:
15/01/2026
Idioma:
Español
Cyberfox Navegador Web 52.9.1 contiene una vulnerabilidad de denegación de servicio que permite a los atacantes colapsar la aplicación desbordando la barra de búsqueda con datos excesivos. Los atacantes pueden generar una carga útil de 9.000.000 bytes y pegarla en la barra de búsqueda para provocar el colapso de la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/01/2026

Vulnerabilidad en Visual Tools DVR VX16 (CVE-2021-47799)
Fecha de publicación:
15/01/2026
Idioma:
Español
Visual Tools DVR VX16 versión 4.2.28 contiene una vulnerabilidad de escalada de privilegios local en su configuración de Sudo que permite a los atacantes obtener acceso de root. Los atacantes pueden explotar la configuración insegura de Sudo utilizando comandos mount para enlazar un shell, lo que permite privilegios no autorizados a nivel de sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/01/2026

Vulnerabilidad en ProjeQtOr Project Management (CVE-2021-47819)
Fecha de publicación:
15/01/2026
Idioma:
Español
ProjeQtOr Project Management 9.1.4 contiene una vulnerabilidad de carga de archivos que permite a usuarios invitados cargar archivos PHP maliciosos con capacidades de ejecución de código arbitrario. Los atacantes pueden cargar un script PHP a través de la sección de adjuntos del perfil y ejecutar comandos del sistema al acceder al archivo cargado con un parámetro de solicitud especialmente diseñado.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
16/01/2026

Vulnerabilidad en Tagstoo (CVE-2021-47843)
Fecha de publicación:
15/01/2026
Idioma:
Español
Tagstoo 2.0.1 contiene una vulnerabilidad de cross-site scripting almacenado que permite a los atacantes inyectar cargas útiles maliciosas a través de archivos o etiquetas personalizadas. Los atacantes pueden ejecutar código JavaScript arbitrario para generar procesos del sistema, acceder a archivos y realizar ejecución remota de código en el equipo de la víctima.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/02/2026

Vulnerabilidad en Dynojet Power Core de Dynojet (CVE-2021-47773)
Fecha de publicación:
15/01/2026
Idioma:
Español
Dynojet Power Core 2.3.0 contiene una vulnerabilidad de ruta de servicio sin comillas en el DJ.UpdateService que permite a usuarios locales autenticados ejecutar código potencialmente con privilegios elevados. Los atacantes pueden explotar la ruta binaria sin comillas colocando ejecutables maliciosos en la ruta de archivo del servicio para obtener acceso de Sistema Local.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en Kingdia CD Extractor de En (CVE-2021-47774)
Fecha de publicación:
15/01/2026
Idioma:
Español
Kingdia CD Extractor 3.0.2 contiene una vulnerabilidad de desbordamiento de búfer en el campo de nombre de registro que permite a los atacantes ejecutar código arbitrario. Los atacantes pueden crear una carga útil maliciosa que exceda los 256 bytes para sobrescribir el Manejador de Excepciones Estructuradas y obtener ejecución remota de código a través de un shell de enlace.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/01/2026

Vulnerabilidad en YouTube Video Grabber de Litexmedia (CVE-2021-47775)
Fecha de publicación:
15/01/2026
Idioma:
Español
YouTube Video Grabber, ahora conocido como YouTube Downloader, 1.9.9.1 contiene una vulnerabilidad de desbordamiento de búfer que permite a los atacantes ejecutar código arbitrario sobrescribiendo el Structured Exception Handler. Los atacantes pueden crear una carga útil maliciosa de 712 bytes con manipulación de SEH para activar una conexión de bind shell en un puerto local especificado.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/01/2026

Vulnerabilidad en Umbraco (CVE-2021-47776)
Fecha de publicación:
15/01/2026
Idioma:
Español
Umbraco CMS v8.14.1 contiene una vulnerabilidad de falsificación de petición del lado del servidor que permite a los atacantes manipular los parámetros baseUrl en múltiples puntos finales de controladores de panel de control y ayuda. Los atacantes pueden elaborar peticiones maliciosas a los puntos finales GetContextHelpForPage, GetRemoteDashboardContent y GetRemoteDashboardCss para desencadenar peticiones no autorizadas del lado del servidor a hosts externos.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en Cmder Console Emulator (CVE-2021-47781)
Fecha de publicación:
15/01/2026
Idioma:
Español
Cmder Console Emulator 1.3.18 contiene una vulnerabilidad de desbordamiento de búfer que permite a los atacantes desencadenar una condición de denegación de servicio a través de un archivo .cmd creado maliciosamente. Los atacantes pueden crear un archivo .cmd especialmente construido con caracteres repetidos para desbordar el búfer del emulador de consola y bloquear la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
16/01/2026
Suscribirse a Vulnerabilidades