Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ProjeQtOr Project Management (CVE-2021-47819)
Fecha de publicación:
15/01/2026
Idioma:
Español
ProjeQtOr Project Management 9.1.4 contiene una vulnerabilidad de carga de archivos que permite a usuarios invitados cargar archivos PHP maliciosos con capacidades de ejecución de código arbitrario. Los atacantes pueden cargar un script PHP a través de la sección de adjuntos del perfil y ejecutar comandos del sistema al acceder al archivo cargado con un parámetro de solicitud especialmente diseñado.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Dynojet Power Core de Dynojet (CVE-2021-47773)
Fecha de publicación:
15/01/2026
Idioma:
Español
Dynojet Power Core 2.3.0 contiene una vulnerabilidad de ruta de servicio sin comillas en el DJ.UpdateService que permite a usuarios locales autenticados ejecutar código potencialmente con privilegios elevados. Los atacantes pueden explotar la ruta binaria sin comillas colocando ejecutables maliciosos en la ruta de archivo del servicio para obtener acceso de Sistema Local.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/01/2026

Vulnerabilidad en Umbraco (CVE-2021-47776)
Fecha de publicación:
15/01/2026
Idioma:
Español
Umbraco CMS v8.14.1 contiene una vulnerabilidad de falsificación de petición del lado del servidor que permite a los atacantes manipular los parámetros baseUrl en múltiples puntos finales de controladores de panel de control y ayuda. Los atacantes pueden elaborar peticiones maliciosas a los puntos finales GetContextHelpForPage, GetRemoteDashboardContent y GetRemoteDashboardCss para desencadenar peticiones no autorizadas del lado del servidor a hosts externos.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/01/2026

Vulnerabilidad en Kingdia CD Extractor de En (CVE-2021-47774)
Fecha de publicación:
15/01/2026
Idioma:
Español
Kingdia CD Extractor 3.0.2 contiene una vulnerabilidad de desbordamiento de búfer en el campo de nombre de registro que permite a los atacantes ejecutar código arbitrario. Los atacantes pueden crear una carga útil maliciosa que exceda los 256 bytes para sobrescribir el Manejador de Excepciones Estructuradas y obtener ejecución remota de código a través de un shell de enlace.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en YouTube Video Grabber de Litexmedia (CVE-2021-47775)
Fecha de publicación:
15/01/2026
Idioma:
Español
YouTube Video Grabber, ahora conocido como YouTube Downloader, 1.9.9.1 contiene una vulnerabilidad de desbordamiento de búfer que permite a los atacantes ejecutar código arbitrario sobrescribiendo el Structured Exception Handler. Los atacantes pueden crear una carga útil maliciosa de 712 bytes con manipulación de SEH para activar una conexión de bind shell en un puerto local especificado.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Build Smart ERP (CVE-2021-47777)
Fecha de publicación:
15/01/2026
Idioma:
Español
La versión Build Smart ERP 21.0817 contiene una vulnerabilidad de inyección SQL sin autenticación en el parámetro 'eidValue' del punto final de validación de inicio de sesión. Los atacantes pueden inyectar consultas SQL apiladas utilizando cargas útiles como ';WAITFOR DELAY “0:0:3' -- para manipular las consultas de la base de datos y, potencialmente, extraer o modificar información de la misma.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Cmder Console Emulator (CVE-2021-47781)
Fecha de publicación:
15/01/2026
Idioma:
Español
Cmder Console Emulator 1.3.18 contiene una vulnerabilidad de desbordamiento de búfer que permite a los atacantes desencadenar una condición de denegación de servicio a través de un archivo .cmd creado maliciosamente. Los atacantes pueden crear un archivo .cmd especialmente construido con caracteres repetidos para desbordar el búfer del emulador de consola y bloquear la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Strike Network Inventory Explorer Pro de 10-Strike (CVE-2021-47767)
Fecha de publicación:
15/01/2026
Idioma:
Español
10-Strike Network Inventory Explorer Pro 9.31 contiene una vulnerabilidad de ruta de servicio sin comillas en el servicio srvInventoryWebServer que se ejecuta con privilegios de LocalSystem. Los atacantes pueden explotar la ruta sin comillas colocando ejecutables maliciosos en segmentos de ruta potenciales para lograr la escalada de privilegios y ejecutar código con permisos de nivel de sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/01/2026

Vulnerabilidad en ImportExportTools NG de thundernest (CVE-2021-47768)
Fecha de publicación:
15/01/2026
Idioma:
Español
ImportExportTools NG 10.0.4 contiene una vulnerabilidad de inyección HTML persistente en el módulo de exportación de correo electrónico que permite a atacantes remotos inyectar cargas útiles HTML maliciosas. Los atacantes pueden enviar correos electrónicos con HTML manipulado en el asunto que se ejecuta durante la exportación HTML, comprometiendo potencialmente datos de usuario o credenciales de sesión.
Gravedad CVSS v4.0: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en Isshue Shopping Cart de Bdtask (CVE-2021-47769)
Fecha de publicación:
15/01/2026
Idioma:
Español
Isshue Shopping Cart 3.5 contiene una vulnerabilidad persistente de cross-site scripting en los campos de entrada de título en los módulos de inventario, clientes y facturas. Atacantes con cuentas de usuario privilegiadas pueden inyectar scripts maliciosos que se ejecutan en la vista previa, lo que podría permitir el secuestro de sesión y ataques de phishing persistentes.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/01/2026

Vulnerabilidad en RDP Manager de Cinspiration (CVE-2021-47771)
Fecha de publicación:
15/01/2026
Idioma:
Español
RDP Manager 4.9.9.3 contiene una vulnerabilidad de denegación de servicio en los campos de entrada de conexión que permite a atacantes locales colapsar la aplicación. Los atacantes pueden añadir entradas de tamaño excesivo en los campos Verbindungsname y Servidor para congelar y colapsar permanentemente el software, lo que podría requerir una reinstalación completa.
Gravedad CVSS v4.0: MEDIA
Última modificación:
26/01/2026

Vulnerabilidad en Strike Network Inventory Explorer Pro de 10-Strike (CVE-2021-47772)
Fecha de publicación:
15/01/2026
Idioma:
Español
10-Strike Network Inventory Explorer Pro 9.31 contiene una vulnerabilidad de desbordamiento de búfer en la funcionalidad de importación de archivos de texto que permite la ejecución remota de código. Los atacantes pueden crear un archivo de texto malicioso con una carga útil cuidadosamente construida para activar una shell inversa y ejecutar código arbitrario en el sistema objetivo.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/01/2026
Suscribirse a Vulnerabilidades