Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2025-65212
Fecha de publicación:
06/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue was discovered in NJHYST HY511 POE core before 2.1 and plugins before 0.1. The vulnerability stems from the device's insufficient cookie verification, allowing an attacker to directly request the configuration file address and download the core configuration file without logging into the device management backend. By reading the corresponding username and self-decrypted MD5 password in the core configuration file, the attacker can directly log in to the backend, thereby bypassing the front-end backend login page.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/01/2026

CVE-2025-60262
Fecha de publicación:
06/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** An issue in H3C M102G HM1A0V200R010 wireless controller and BA1500L SWBA1A0V100R006 wireless access point, there is a misconfiguration vulnerability about vsftpd. Through this vulnerability, all files uploaded anonymously via the FTP protocol is automatically owned by the root user and remote attackers could gain root-level control over the devices.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/01/2026

CVE-2025-59379
Fecha de publicación:
06/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** DwyerOmega Isensix Advanced Remote Monitoring System (ARMS) 1.5.7 allows an attacker to retrieve sensitive information from the underlying SQL database via Blind SQL Injection through the user parameter in the login page. This allows an attacker to steal credentials, which may be cleartext, from existing users (and admins) and use them to authenticate to the application.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2026

CVE-2025-14979
Fecha de publicación:
06/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** AirVPN Eddie on MacOS contains an insecure XPC service that allows local, unprivileged users to escalate their privileges to root.This issue affects Eddie: 2.24.6.
Gravedad CVSS v4.0: ALTA
Última modificación:
09/04/2026

Vulnerabilidad en Arteco Web Client DVR/NVR de Arteco-Global (CVE-2020-36925)
Fecha de publicación:
06/01/2026
Idioma:
Español
Arteco Web Client DVR/NVR contiene una vulnerabilidad de secuestro de sesión con complejidad de ID de sesión insuficiente que permite a atacantes remotos eludir la autenticación. Los atacantes pueden forzar por fuerza bruta los IDs de sesión dentro de un rango numérico específico para obtener sesiones válidas y acceder a transmisiones de cámaras en vivo sin autorización.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Sony BRAVIA Digital Signage de Pro-Bravia (CVE-2020-36922)
Fecha de publicación:
06/01/2026
Idioma:
Español
Sony BRAVIA Digital Signage 1.7.8 contiene una vulnerabilidad de revelación de información que permite a atacantes no autenticados acceder a detalles sensibles del sistema a través de puntos finales de la API. Los atacantes pueden recuperar información de la interfaz de red, configuraciones del servidor y metadatos del sistema enviando solicitudes a la API del sistema expuesta.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/01/2026

Vulnerabilidad en Sony BRAVIA Digital Signage de Sony Electronics Inc. (CVE-2020-36923)
Fecha de publicación:
06/01/2026
Idioma:
Español
Sony BRAVIA Digital Signage 1.7.8 contiene una vulnerabilidad de referencia directa a objeto insegura que permite a los atacantes eludir los controles de autorización. Los atacantes pueden acceder a recursos ocultos del sistema como '/#/content-creation' manipulando las restricciones de acceso del lado del cliente.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/01/2026

Vulnerabilidad en Sony BRAVIA Digital Signage de Pro-Bravia (CVE-2020-36924)
Fecha de publicación:
06/01/2026
Idioma:
Español
Sony BRAVIA Digital Signage 1.7.8 contiene una vulnerabilidad de inclusión remota de ficheros que permite a los atacantes inyectar scripts arbitrarios del lado del cliente a través del parámetro URL de material de contenido. Los atacantes pueden explotar esta vulnerabilidad para secuestrar sesiones de usuario, ejecutar código de cross-site scripting y modificar el contenido de la pantalla manipulando el tipo de material de entrada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/01/2026

Vulnerabilidad en iDS6 DSSPro Digital Signage System de Yerootech (CVE-2020-36918)
Fecha de publicación:
06/01/2026
Idioma:
Español
El sistema de señalización digital iDS6 DSSPro 6.2 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes realizar acciones administrativas sin validación de petición. Los atacantes pueden crear páginas web maliciosas para engañar a los administradores que han iniciado sesión para que añadan usuarios no autorizados explotando la falta de protecciones CSRF.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en iDS6 DSSPro Digital Signage System de Yerootech (CVE-2020-36920)
Fecha de publicación:
06/01/2026
Idioma:
Español
iDS6 DSSPro Digital Signage System 6.2 contiene una vulnerabilidad de control de acceso inadecuado que permite a los usuarios autenticados elevar privilegios a través de funciones JavaScript de consola. Los atacantes pueden crear usuarios, modificar roles y permisos, y potencialmente lograr el control total de la aplicación explotando referencias directas a objetos inseguras.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en RED-V Super Digital Signage System RXV-A740R de RED (CVE-2020-36921)
Fecha de publicación:
06/01/2026
Idioma:
Español
RED-V Super Digital Signage System 5.1.1 contiene una vulnerabilidad de revelación de información que permite a atacantes no autenticados acceder a archivos de registro sensibles del servidor web. Los atacantes pueden visitar múltiples puntos finales para recuperar recursos del sistema e información de registro de depuración sin autenticación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Plexus anblick Digital Signage Management de Plexus (CVE-2020-36912)
Fecha de publicación:
06/01/2026
Idioma:
Español
Plexus anblick Digital Signage Management 3.1.13 contiene una vulnerabilidad de redirección abierta en el script 'PantallaLogin' que permite a los atacantes manipular el parámetro GET 'pagina'. Los atacantes pueden crear enlaces maliciosos que redirigen a los usuarios a sitios web arbitrarios aprovechando una validación de entrada incorrecta en el parámetro.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades