Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4899)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se encontró una vulnerabilidad en Campcodes Sales and Inventory System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /pages/transaction_update.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en Tenda A15 15.13.07.09/15.13.07.13 (CVE-2025-4897)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se encontró una vulnerabilidad en Tenda A15 15.13.07.09/15.13.07.13. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /goform/multimodalAdd del componente HTTP POST Request Handler. La manipulación provoca un desbordamiento del búfer. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/05/2025

Vulnerabilidad en SourceCodester Student Result Management System 1.0 (CVE-2025-4898)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Student Result Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta la función "unlink" del archivo update_system.php del componente Logo File Handler. La manipulación del argumento old_logo provoca un path traversal. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en SourceCodester Doctors Appointment System 1.0 (CVE-2025-4895)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se ha detectado una vulnerabilidad clasificada como crítica en SourceCodester Doctors Appointment System 1.0. Este problema afecta a un procesamiento desconocido del archivo /admin/delete-session.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en Tenda AC10 16.03.10.13 (CVE-2025-4896)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se encontró una vulnerabilidad en Tenda AC10 16.03.10.13, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /goform/UserCongratulationsExec. La manipulación del argumento getuid provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/05/2025

Vulnerabilidad en calmkart Django-sso-server (CVE-2025-4894)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como problemática en calmkart Django-sso-server hasta 057247929a94ffc358788a37ab99e391379a4d15. Esta vulnerabilidad afecta la función gen_rsa_keys del archivo common/crypto.py. La manipulación resulta en una seguridad de cifrado insuficiente. El ataque puede ejecutarse en remoto. La complejidad del ataque es bastante alta. La explotación parece difícil. Este producto utiliza una versión continua para garantizar una distribución continua. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de las versiones actualizadas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
05/06/2025

Vulnerabilidad en jammy928 CoinExchange_CryptoExchange_Java (CVE-2025-4893)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se ha detectado una vulnerabilidad crítica en jammy928 CoinExchange_CryptoExchange_Java hasta 8adf508b996020d3efbeeb2473d7235bd01436fa. Esta vulnerabilidad afecta a la función uploadLocalImage del archivo /CoinExchange_CryptoExchange_Java-master/00_framework/core/src/main/java/com/bizzan/bitrade/util/UploadFileUtil.java del componente File Upload Endpoint. La manipulación del argumento filename provoca un path traversal. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Este producto no utiliza control de versiones. Por ello, no se dispone de información sobre las versiones afectadas y no afectadas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en code-projects Police Station Management System 1.0 (CVE-2025-4891)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Police Station Management System 1.0. Se ha clasificado como crítica. La función criminal::display del archivo source.cpp del componente Display Record se ve afectada. La manipulación del argumento N provoca un desbordamiento del búfer. Es posible lanzar el ataque en el host local. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/05/2025

Vulnerabilidad en code-projects Police Station Management System 1.0 (CVE-2025-4892)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Police Station Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a la función criminal::remove del archivo source.cpp del componente Delete Record. La manipulación del argumento "No" provoca un desbordamiento del búfer en la pila. El ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/05/2025

Vulnerabilidad en code-projects Tourism Management System 1.0 (CVE-2025-4890)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Tourism Management System 1.0, clasificada como crítica. Este problema afecta a la función LoginUser del componente Login User. La manipulación del argumento nombre de usuario/contraseña provoca un desbordamiento del búfer en la pila. Es obligatorio realizar un ataque local. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/10/2025

Vulnerabilidad en code-projects Tourism Management System 1.0 (CVE-2025-4889)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se ha detectado una vulnerabilidad en code-projects Tourism Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a la función AddUser del componente Registro de Usuarios. La manipulación del argumento nombre de usuario/contraseña provoca un desbordamiento del búfer. Se requiere acceso local para abordar este ataque. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/10/2025

Vulnerabilidad en code-projects Pharmacy Management System 1.0 (CVE-2025-4888)
Fecha de publicación:
18/05/2025
Idioma:
Español
Se encontró una vulnerabilidad clasificada como crítica en code-projects Pharmacy Management System 1.0. Esta afecta a la función medicineType::take_order del componente "Add Order Details". La manipulación provoca un desbordamiento del búfer. Un ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/05/2025
Suscribirse a Vulnerabilidades