Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Beetel Connection Manager (CVE-2013-10036)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer en la pila en Beetel Connection Manager versión PCW_BTLINDV1.0.0B04 al analizar el parámetro UserName en el archivo de configuración NetConfig.ini. Un archivo .ini manipulado que contenga un valor UserName demasiado largo puede sobrescribir el Gestor de Excepciones Estructurado (SEH), lo que provoca la ejecución de código arbitrario cuando la aplicación procesa el archivo.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/07/2025

Vulnerabilidad en WebTester (CVE-2013-10037)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección de comandos del sistema operativo en WebTester versión 5.x mediante el script de instalación install2.php. Los parámetros cpusername, cppassword y cpdomain se pasan directamente a los comandos de shell sin depurarlos. Un atacante remoto no autenticado puede explotar esta vulnerabilidad enviando una solicitud HTTP POST manipulada, lo que resulta en la ejecución de comandos arbitrarios en el sistema subyacente con privilegios de servidor web.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en FlashChat (CVE-2013-10038)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de carga arbitraria de archivos sin autenticación en las versiones 6.0.2 y 6.0.4 a 6.0.8 de FlashChat. El endpoint upload.php no valida correctamente los tipos de archivo ni la autenticación, lo que permite a los atacantes cargar scripts PHP maliciosos. Una vez cargados, estos scripts pueden ejecutarse en remoto, lo que resulta en la ejecución de código arbitrario como si fuera el usuario del servidor web.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en GestioIP 3.0 (CVE-2013-10039)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección de comandos en GestioIP 3.0, commit ac67be y versiones anteriores, en ip_checkhost.cgi. Una entrada manipulada en el parámetro 'ip' permite a los atacantes ejecutar comandos de shell arbitrarios en el servidor mediante payloads incrustadas codificadas en base64. Es posible que se requiera autenticación según la configuración de la implementación.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/07/2025

Vulnerabilidad en ClipBucket (CVE-2013-10040)
Fecha de publicación:
31/07/2025
Idioma:
Español
La versión 2.6 y anteriores de ClipBucket contienen una vulnerabilidad crítica en el script ofc_upload_image.php, ubicado en /admin_area/charts/ofc-library/. Este endpoint permite a usuarios no autenticados cargar archivos arbitrarios, incluyendo scripts PHP ejecutables. Una vez cargados, el atacante puede acceder al archivo a través de una ruta predecible y activar la ejecución remota de código.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/09/2025

Vulnerabilidad en D-Link DIR-605L Wireless N300 Cloud Router (CVE-2012-10021)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer en la pila en las versiones de firmware 1.12 y 1.13 del D-Link DIR-605L Wireless N300 Cloud Router mediante la función getAuthCode(). La falla se debe al uso inseguro de sprintf() al procesar datos CAPTCHA proporcionados por el usuario mediante el parámetro FILECODE en /goform/formLogin. Un atacante remoto no autenticado puede explotar esto para ejecutar código arbitrario con privilegios de root en el dispositivo.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/09/2025

Vulnerabilidad en Kimai (CVE-2013-10033)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de inyección SQL no autenticada en la versión 0.9.2.x de Kimai a través del endpoint db_restore.php. Esta falla permite a los atacantes inyectar consultas SQL arbitrarias en el parámetro POST «dates[]», lo que permite la escritura de archivos mediante INTO OUTFILE en condiciones específicas. Esto puede provocar la ejecución remota de código mediante la escritura de un payload PHP en el directorio temporal accesible desde la web. La vulnerabilidad se ha confirmado en versiones como 0.9.2.beta, 0.9.2.1294.beta y 0.9.2.1306-3.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en Kaseya KServer (CVE-2013-10034)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de carga de archivos sin restricciones en versiones de Kaseya KServer anteriores a la 6.3.0.2. El endpoint uploadImage.asp permite a usuarios no autenticados cargar archivos a rutas arbitrarias mediante un parámetro de nombre de archivo manipulado en una solicitud POST multipart/form-data. Debido a la falta de autenticación y depuración de entrada, un atacante puede cargar un archivo con la extensión .asp a un directorio accesible desde la web, que posteriormente puede invocarse para ejecutar código arbitrario con los privilegios de la cuenta IUSR. Esta vulnerabilidad permite la ejecución remota de código sin autenticación previa y se solucionó en la versión 6.3.0.2 eliminando el endpoint uploadImage.asp vulnerable.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
31/07/2025

Vulnerabilidad en MPlayer Lite r33064 (CVE-2011-10008)
Fecha de publicación:
31/07/2025
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer en la pila en MPlayer Lite r33064 debido a una comprobación incorrecta de los límites al gestionar archivos de listas de reproducción M3U con entradas URL largas con la extensión http://. Un atacante puede manipular un archivo .m3u malicioso con una URL con un formato especial que provoca un desbordamiento de pila al ser procesado por el reproductor, especialmente mediante la interacción de arrastrar y soltar. Esta falla permite controlar el flujo de ejecución mediante la sobrescritura de SEH y la omisión de DEP mediante una cadena ROP que aprovecha los gadgets conocidos en las DLL cargadas. Una explotación exitosa puede resultar en la ejecución de código arbitrario con los privilegios del usuario actual.
Gravedad CVSS v4.0: ALTA
Última modificación:
31/07/2025

Vulnerabilidad en code-projects Vehicle Management 1.0 (CVE-2025-8407)
Fecha de publicación:
31/07/2025
Idioma:
Español
Se ha detectado una vulnerabilidad clasificada como crítica en code-projects Vehicle Management 1.0. Este problema afecta a un procesamiento desconocido del archivo /filter2.php. La manipulación del argumento de provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/08/2025

Vulnerabilidad en Ansible Automation Platform (CVE-2025-7738)
Fecha de publicación:
31/07/2025
Idioma:
Español
Se detectó una falla en Ansible Automation Platform (AAP) donde la API Gateway devuelve el secreto del cliente para ciertos autenticadores de GitHub Enterprise en texto sin cifrar. Esta vulnerabilidad afecta a administradores o auditores que acceden a las configuraciones del autenticador. Si bien el acceso está limitado a usuarios con privilegios, la exposición en texto sin cifrar de credenciales confidenciales aumenta el riesgo de filtraciones accidentales o uso indebido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/12/2025

Vulnerabilidad en Copyparty (CVE-2025-54589)
Fecha de publicación:
31/07/2025
Idioma:
Español
Copyparty es un servidor de archivos portátil. En las versiones 1.18.6 y anteriores, al acceder a la página de subidas recientes en `/?ru`, los usuarios pueden filtrar los resultados mediante un campo de entrada en la parte superior. Este campo añade un parámetro de filtro a la URL, que refleja su valor directamente en un bloque `
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/09/2025
Suscribirse a Vulnerabilidades