Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en vAPV de Array Networks (CVE-2014-125121)
Fecha de publicación:
31/07/2025
Idioma:
Español
Los dispositivos vAPV (versión 8.3.2.17) y vxAG (versión 9.2.0.34) de Array Networks se ven afectados por una vulnerabilidad de escalada de privilegios causada por una combinación de credenciales SSH (o clave privada SSH) codificadas y permisos inseguros en un script de inicio. Los dispositivos se entregan con un inicio de sesión SSH predeterminado o una clave privada DSA codificada, lo que permite a un atacante autenticarse remotamente con privilegios limitados. Una vez autenticado, un atacante puede sobrescribir el script /ca/bin/monitor.sh, con permisos de escritura universal, con comandos arbitrarios. Dado que este script se ejecuta con privilegios elevados a través del binario del backend, al habilitar el monitor de depuración mediante backend -c "debug monitor on", se activa la ejecución del payload del atacante como root. Esto permite una vulnerabilidad completa del sistema.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en Linksys WRT120N (CVE-2014-125122)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer en la pila en el endpoint tmUnblock.cgi del router inalámbrico Linksys WRT120N. La vulnerabilidad se activa al enviar una solicitud HTTP POST especialmente manipulada con un parámetro TM_Block_URL demasiado largo al endpoint. Al explotar esta vulnerabilidad, un atacante remoto no autenticado puede sobrescribir la memoria de forma controlada, lo que le permite restablecer temporalmente la contraseña de administrador del dispositivo a un valor vacío. Esto permite el acceso no autorizado a la interfaz de administración web del router sin necesidad de credenciales válidas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/07/2025

Vulnerabilidad en Kloxo (CVE-2014-125123)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección SQL no autenticada en el panel de control de alojamiento web Kloxo (desarrollado por LXCenter) anterior a la versión 6.1.12. La falla reside en el parámetro login-name pasado a lbin/webcommand.php, que no depura correctamente la entrada, lo que permite a un atacante extraer la contraseña del administrador de la base de datos del servidor. Tras recuperar credenciales válidas, el atacante puede autenticarse en el panel de control Kloxo y usar la función del Centro de Comandos (display.php) para ejecutar comandos arbitrarios del sistema operativo como root en el sistema host subyacente. Se informó de la explotación de esta vulnerabilidad en enero de 2014.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en Pandora FMS (CVE-2014-125124)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de ejecución remota de comandos no autenticados en las versiones de Pandora FMS hasta la 5.0RC1 incluida a través de la interfaz web de Anyterm, que escucha en el puerto TCP 8023. El endpoint anyterm-module acepta la entrada de usuario no autorizada mediante el parámetro p y la inyecta directamente en un comando de shell, lo que permite la ejecución de comandos arbitrarios como usuario de Pandora. En ciertas versiones (en particular, la 4.1 y la 5.0RC1), el usuario de Pandora puede elevar los privilegios a root sin contraseña mediante una cadena que incluye la cuenta de usuario artica. Esta cuenta suele instalarse sin contraseña y está configurada para ejecutar sudo sin autenticación. Por lo tanto, es posible comprometer completamente el sistema sin credenciales.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en freeFTPd (CVE-2013-10042)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer en la pila en freeFTPd versión 1.0.10 y anteriores, relacionada con el manejo del comando FTP PASS. Cuando un atacante envía una cadena de contraseña especialmente manipulada, la aplicación no valida la longitud de la entrada, lo que provoca una corrupción de memoria. Esto puede provocar una denegación de servicio o la ejecución de código arbitrario. Para explotarla, es necesario habilitar la cuenta de usuario anónima.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
26/11/2025

Vulnerabilidad en ProcessMaker (CVE-2013-10035)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección de código en las versiones 2.x de código abierto de ProcessMaker al usar la interfaz predeterminada "neoclassic". Un usuario autenticado puede ejecutar código PHP arbitrario a través de múltiples endpoints, como appFolderAjax.php, casesStartPage_Ajax.php y cases_SchedulerGetPlugins.php, al proporcionar solicitudes POST manipuladas a parámetros como action y params. Estos endpoints no validan la entrada del usuario e invocan directamente funciones PHP como system() con parámetros proporcionados por el usuario, lo que permite la ejecución remota de código. La vulnerabilidad afecta tanto a instalaciones de Linux como de Windows y está presente en las configuraciones predeterminadas de las versiones 2.0.23 a 2.5.1. La interfaz vulnerable no se puede eliminar a través de la interfaz web, y para su explotación solo se requieren credenciales de usuario válidas.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/07/2025

Vulnerabilidad en Beetel Connection Manager (CVE-2013-10036)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer en la pila en Beetel Connection Manager versión PCW_BTLINDV1.0.0B04 al analizar el parámetro UserName en el archivo de configuración NetConfig.ini. Un archivo .ini manipulado que contenga un valor UserName demasiado largo puede sobrescribir el Gestor de Excepciones Estructurado (SEH), lo que provoca la ejecución de código arbitrario cuando la aplicación procesa el archivo.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/07/2025

Vulnerabilidad en WebTester (CVE-2013-10037)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección de comandos del sistema operativo en WebTester versión 5.x mediante el script de instalación install2.php. Los parámetros cpusername, cppassword y cpdomain se pasan directamente a los comandos de shell sin depurarlos. Un atacante remoto no autenticado puede explotar esta vulnerabilidad enviando una solicitud HTTP POST manipulada, lo que resulta en la ejecución de comandos arbitrarios en el sistema subyacente con privilegios de servidor web.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en FlashChat (CVE-2013-10038)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de carga arbitraria de archivos sin autenticación en las versiones 6.0.2 y 6.0.4 a 6.0.8 de FlashChat. El endpoint upload.php no valida correctamente los tipos de archivo ni la autenticación, lo que permite a los atacantes cargar scripts PHP maliciosos. Una vez cargados, estos scripts pueden ejecutarse en remoto, lo que resulta en la ejecución de código arbitrario como si fuera el usuario del servidor web.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en GestioIP 3.0 (CVE-2013-10039)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección de comandos en GestioIP 3.0, commit ac67be y versiones anteriores, en ip_checkhost.cgi. Una entrada manipulada en el parámetro 'ip' permite a los atacantes ejecutar comandos de shell arbitrarios en el servidor mediante payloads incrustadas codificadas en base64. Es posible que se requiera autenticación según la configuración de la implementación.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/07/2025

Vulnerabilidad en ClipBucket (CVE-2013-10040)
Fecha de publicación:
31/07/2025
Idioma:
Español
La versión 2.6 y anteriores de ClipBucket contienen una vulnerabilidad crítica en el script ofc_upload_image.php, ubicado en /admin_area/charts/ofc-library/. Este endpoint permite a usuarios no autenticados cargar archivos arbitrarios, incluyendo scripts PHP ejecutables. Una vez cargados, el atacante puede acceder al archivo a través de una ruta predecible y activar la ejecución remota de código.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/09/2025

Vulnerabilidad en D-Link DIR-605L Wireless N300 Cloud Router (CVE-2012-10021)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer en la pila en las versiones de firmware 1.12 y 1.13 del D-Link DIR-605L Wireless N300 Cloud Router mediante la función getAuthCode(). La falla se debe al uso inseguro de sprintf() al procesar datos CAPTCHA proporcionados por el usuario mediante el parámetro FILECODE en /goform/formLogin. Un atacante remoto no autenticado puede explotar esto para ejecutar código arbitrario con privilegios de root en el dispositivo.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/09/2025
Suscribirse a Vulnerabilidades