Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en suricata de OISF (CVE-2026-22262)
Fecha de publicación:
27/01/2026
Idioma:
Español
Suricata es un motor IDS, IPS y NSM de red. Mientras se guarda un conjunto de datos, se utiliza un búfer de pila para preparar los datos. Antes de las versiones 8.0.3 y 7.0.14, si los datos en el conjunto de datos son demasiado grandes, esto puede resultar en un desbordamiento de pila. Las versiones 8.0.3 y 7.0.14 contienen un parche. Como solución alternativa, no utilice reglas con las opciones 'save' ni 'state' de los conjuntos de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en suricata de OISF (CVE-2026-22261)
Fecha de publicación:
27/01/2026
Idioma:
Español
Suricata es un motor de red IDS, IPS y NSM. Antes de las versiones 8.0.3 y 7.0.14, varias ineficiencias en el manejo de xff, especialmente para alertas no activadas en una tx, pueden provocar ralentizaciones graves. Las versiones 8.0.3 y 7.0.14 contienen un parche. Como solución alternativa, deshabilite el soporte XFF en la configuración de eve. La configuración está deshabilitada por defecto.
Gravedad CVSS v3.1: BAJA
Última modificación:
29/01/2026

Vulnerabilidad en suricata de OISF (CVE-2026-22263)
Fecha de publicación:
27/01/2026
Idioma:
Español
Suricata es un motor de IDS, IPS y NSM de red. A partir de la versión 8.0.0 y antes de la versión 8.0.3, una ineficiencia en el análisis de cabeceras http1 puede provocar una ralentización a lo largo de múltiples paquetes. La versión 8.0.3 corrige el problema. No se conocen soluciones alternativas disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/01/2026

Vulnerabilidad en suricata de OISF (CVE-2026-22264)
Fecha de publicación:
27/01/2026
Idioma:
Español
Suricata es un motor IDS, IPS y NSM de red. Antes de las versiones 8.0.3 y 7.0.14, un desbordamiento de entero sin signo puede conducir a una condición de uso después de liberación en el heap al generar una cantidad excesiva de alertas para un solo paquete. Las versiones 8.0.3 y 7.0.14 contienen un parche. Como solución alternativa, no ejecute conjuntos de reglas no confiables o ejecute con menos de 65536 firmas que puedan coincidir en el mismo paquete.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/01/2026

Vulnerabilidad en AI Engine (CVE-2026-0746)
Fecha de publicación:
27/01/2026
Idioma:
Español
El plugin AI Engine para WordPress es vulnerable a falsificación de petición del lado del servidor en todas las versiones hasta la 3.3.2, inclusive, a través de la función 'get_audio'. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, realicen peticiones web a ubicaciones arbitrarias originadas desde la aplicación web y puede usarse para consultar y modificar información de servicios internos, si la 'API Pública' está habilitada en la configuración del plugin, y 'allow_url_fopen' está configurado en 'On' en el servidor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Motorola Device Manager (CVE-2020-36981)
Fecha de publicación:
27/01/2026
Idioma:
Español
Motorola Device Manager 2.4.5 contiene una vulnerabilidad de ruta de servicio sin comillas en el Servicio PST que permite a usuarios locales ejecutar potencialmente código arbitrario. Los atacantes pueden explotar la ruta sin comillas en ForwardDaemon.exe para inyectar código malicioso que se ejecutará con privilegios de sistema elevados durante el inicio del servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Motorola Device Manager (CVE-2020-36982)
Fecha de publicación:
27/01/2026
Idioma:
Español
Motorola Device Manager 2.5.4 contiene una vulnerabilidad de ruta de servicio sin comillas en el servicio MotoHelperService.exe que permite a los usuarios locales inyectar potencialmente código malicioso. Los atacantes pueden explotar la ruta sin comillas en la configuración del servicio para ejecutar código arbitrario con privilegios de sistema elevados durante el inicio del servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Quick 'n Easy FTP Service (CVE-2020-36983)
Fecha de publicación:
27/01/2026
Idioma:
Español
Quick 'n Easy FTP Service 3.2 contiene una vulnerabilidad de ruta de servicio sin comillas que permite a atacantes locales ejecutar código arbitrario durante el inicio del servicio. Los atacantes pueden explotar la ruta binaria del servicio mal configurada para inyectar ejecutables maliciosos con privilegios elevados de LocalSystem durante el arranque del sistema o el reinicio del servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Status Monitor 3 (CVE-2020-36975)
Fecha de publicación:
27/01/2026
Idioma:
Español
EPSON Status Monitor 3 versión 8.0 contiene una vulnerabilidad de ruta de servicio sin comillas que permite a atacantes locales ejecutar potencialmente código arbitrario explotando la ruta del binario del servicio. Los atacantes pueden aprovechar la ruta sin comillas en 'C:\Program Files\Common Files\EPSON\EPW!3SSRP\E_S60RPB.EXE' para inyectar ejecutables maliciosos y escalar privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Global Registration Service (CVE-2020-36976)
Fecha de publicación:
27/01/2026
Idioma:
Español
Acer Global Registration Service 1.0.0.3 contiene una vulnerabilidad de ruta de servicio sin comillas en su configuración de servicio que permite a usuarios locales ejecutar potencialmente código arbitrario. Los atacantes pueden explotar la ruta sin comillas en C:\Program Files (x86)\Acer\Registration\ para inyectar ejecutables maliciosos que se ejecutarían con privilegios elevados de LocalSystem durante el inicio del servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Wondershare Driver Install Service help (CVE-2020-36977)
Fecha de publicación:
27/01/2026
Idioma:
Español
Wondershare Driver Install Service contiene una vulnerabilidad de ruta de servicio sin comillas en el ejecutable ElevationService que permite a atacantes locales inyectar potencialmente código malicioso. Los atacantes pueden explotar la ruta sin comillas para reemplazar el binario del servicio con un ejecutable malicioso, lo que permite la escalada de privilegios a la cuenta LocalSystem.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Froxlor Froxlor Server Management Panel (CVE-2020-36978)
Fecha de publicación:
27/01/2026
Idioma:
Español
Froxlor Server Management Panel 0.10.16 contiene una vulnerabilidad persistente de cross-site scripting en los campos de entrada de registro de clientes. Atacantes pueden inyectar scripts maliciosos a través de los parámetros de nombre de usuario, nombre y primer nombre para ejecutar código cuando los administradores visualizan los módulos de tráfico de clientes.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades