Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en RealtyScripts de Next Click Ventures (CVE-2015-20121)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 contiene vulnerabilidades de inyección SQL que permiten a atacantes no autenticados manipular consultas de la base de datos inyectando código SQL arbitrario a través del parámetro GET 'u_id' en /admin/users.php y el parámetro POST 'agent[]' en /admin/mailer.php. Los atacantes pueden explotar técnicas de inyección SQL ciega basada en tiempo para extraer información sensible de la base de datos o causar denegación de servicio a través de payloads basados en sleep.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en ZKTeco ZKTime.Net (CVE-2016-20024)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKTime.Net 3.0.1.6 contiene una vulnerabilidad de permisos de archivo inseguros que permite a usuarios sin privilegios realizar una escalada de privilegios mediante la modificación de archivos ejecutables. Los atacantes pueden explotar los permisos de escritura global (world-writable) en el directorio ZKTimeNet3.0 y su contenido para reemplazar archivos ejecutables con binarios maliciosos para la escalada de privilegios.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
16/03/2026

Vulnerabilidad en ZKTeco ZKAccess Professional (CVE-2016-20025)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKAccess Professional 3.5.3 contiene una vulnerabilidad de permisos de archivo inseguros que permite a los usuarios autenticados escalar privilegios modificando archivos ejecutables. Los atacantes pueden aprovechar el permiso de Modificar otorgado al grupo de Usuarios Autenticados para reemplazar binarios ejecutables con código malicioso para la escalada de privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/03/2026

Vulnerabilidad en ZKTeco ZKBioSecurity (CVE-2016-20026)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKBioSecurity 3.0 contiene credenciales codificadas en el servidor Apache Tomcat incluido que permiten a atacantes no autenticados acceder a la aplicación de gestión. Los atacantes pueden autenticarse con credenciales codificadas almacenadas en tomcat-users.xml para cargar archivos WAR maliciosos que contienen aplicaciones JSP y ejecutar código arbitrario con privilegios de SISTEMA.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
16/03/2026

Vulnerabilidad en RealtyScript de Next Click Ventures (CVE-2015-20116)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 no sanea correctamente las subidas de archivos CSV, permitiendo a los atacantes inyectar scripts maliciosos a través de parámetros de nombre de archivo en datos de formulario multipart. Los atacantes pueden subir archivos con cargas útiles de XSS en el campo de nombre de archivo para ejecutar JavaScript arbitrario en los navegadores de los usuarios cuando el archivo es procesado o mostrado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en RealtyScript de Next Click Ventures (CVE-2015-20117)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a atacantes no autenticados crear cuentas de usuario no autorizadas y usuarios administrativos mediante la creación de formularios maliciosos. Los atacantes pueden enviar datos de formulario ocultos a los puntos finales /admin/addusers.PHP y /admin/editadmins.PHP para registrar nuevos usuarios con credenciales arbitrarias y escalar privilegios a nivel SUPERUSER.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en RealtyScript de Next Click Ventures (CVE-2015-20118)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 contiene una vulnerabilidad de cross-site scripting almacenado en el parámetro location_name de la interfaz de ubicaciones de administrador. Los atacantes pueden enviar solicitudes POST al endpoint locations.PHP con payloads de JavaScript en el campo location_name para ejecutar código arbitrario en los navegadores de los administradores.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en RealtyScript de Next Click Ventures (CVE-2015-20119)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 contiene una vulnerabilidad de cross-site scripting almacenada que permite a atacantes autenticados inyectar elementos HTML e iframe maliciosos a través del parámetro text en la interfaz de administración de pages.PHP. Los atacantes pueden enviar solicitudes POST a la acción add page con cargas útiles de iframe manipuladas en el parámetro text para almacenar contenido malicioso que se ejecuta en los navegadores de los usuarios que visualizan las páginas afectadas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en RealtyScript de Next Click Ventures (CVE-2015-20120)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 contiene múltiples vulnerabilidades de inyección SQL ciega basada en tiempo que permiten a atacantes no autenticados extraer información de la base de datos inyectando código SQL en los parámetros de la aplicación. Los atacantes pueden elaborar solicitudes con cargas útiles de retardo de tiempo para inferir el contenido de la base de datos carácter por carácter basándose en las diferencias de tiempo de respuesta.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en RealtyScript de Next Click Ventuers (CVE-2015-20113)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 contiene vulnerabilidades de falsificación de petición en sitios cruzados y de cross-site scripting persistente que permiten a los atacantes realizar acciones administrativas e inyectar scripts maliciosos. Los atacantes pueden crear páginas web maliciosas que ejecutan acciones no autorizadas cuando los usuarios autenticados las visitan, o inyectar scripts persistentes que se ejecutan en el contexto de la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en RealtyScript de Next Click Ventuers (CVE-2015-20114)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 contiene una vulnerabilidad de cross-site scripting que permite a los atacantes ejecutar código HTML y de script arbitrario mediante la inyección de entrada maliciosa a través de múltiples parámetros que no están debidamente saneados. Los atacantes pueden elaborar solicitudes con cargas útiles de script inyectadas en parámetros vulnerables para ejecutar código en las sesiones del navegador de los usuarios dentro del contexto de la aplicación afectada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en RealtyScript de Next Click Ventures (CVE-2015-20115)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 no sanea correctamente las cargas de archivos, permitiendo a los atacantes almacenar scripts maliciosos a través del parámetro POST file en admin/tools.php. Los atacantes pueden subir archivos que contienen código JavaScript que se ejecuta en el contexto de admin/tools.php cuando es accedido por otros usuarios.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026
Suscribirse a Vulnerabilidades