Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Netartmedia Vlog System (CVE-2019-25641)
Fecha de publicación:
24/03/2026
Idioma:
Español
Netartmedia Vlog System contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través del parámetro de correo electrónico. Los atacantes pueden enviar solicitudes POST a index.php con valores de correo electrónico maliciosos en el módulo forgotten_password para extraer información sensible de la base de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en eNdonesia Portal de Endonesia (CVE-2019-25643)
Fecha de publicación:
24/03/2026
Idioma:
Español
eNdonesia Portal v8.7 contiene múltiples vulnerabilidades de inyección SQL que permiten a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través del parámetro bid. Los atacantes pueden enviar solicitudes GET a banners.php con cargas útiles SQL manipuladas en el parámetro bid para extraer información sensible de la base de datos de las tablas INFORMATION_SCHEMA.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en WinMPG Video Convert Local Dos Exploit de Winmpg (CVE-2019-25644)
Fecha de publicación:
24/03/2026
Idioma:
Español
WinMPG Video Convert 9.3.5 y versiones anteriores contienen una vulnerabilidad de desbordamiento de búfer en el diálogo de registro que permite a atacantes locales bloquear la aplicación al proporcionar una entrada sobredimensionada. Los atacantes pueden pegar una carga útil grande de 6000 bytes en el campo Nombre y Código de Registro para desencadenar una condición de denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/04/2026

Vulnerabilidad en Bootstrapy CMS (CVE-2019-25642)
Fecha de publicación:
24/03/2026
Idioma:
Español
Bootstrapy CMS contiene múltiples vulnerabilidades de inyección SQL que permiten a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través de parámetros POST. Los atacantes pueden inyectar cargas útiles SQL en el parámetro thread_id de forum-thread.php, el parámetro subject de contact-submit.php, el parámetro post-id de post-new-submit.php, y el parámetro thread-id para extraer información sensible de la base de datos o causar denegación de servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/05/2026

Vulnerabilidad en Inout Article Base CMS (CVE-2019-25640)
Fecha de publicación:
24/03/2026
Idioma:
Español
Inout Article Base CMS contiene vulnerabilidades de inyección SQL que permiten a atacantes no autenticados manipular consultas a la base de datos a través de los parámetros 'p' y 'u'. Los atacantes pueden inyectar código SQL utilizando cargas útiles basadas en XOR en solicitudes GET a portalLogin.php para extraer información sensible de la base de datos o causar denegación de servicio a través de ataques basados en tiempo.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/05/2026

Vulnerabilidad en Base64 Decoder (CVE-2019-25634)
Fecha de publicación:
24/03/2026
Idioma:
Español
Base64 Decoder 1.1.2 contiene una vulnerabilidad de desbordamiento de búfer basado en pila que permite a atacantes locales ejecutar código arbitrario al desencadenar una sobrescritura del gestor de excepciones estructuradas (SEH). Los atacantes pueden crear un archivo de entrada malicioso que desborda un búfer, sobrescribe la cadena SEH con una dirección de gadget POP-POP-RET y utiliza una carga útil egghunter para localizar y ejecutar shellcode para la ejecución de código.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en NetStat Pro (CVE-2019-25637)
Fecha de publicación:
24/03/2026
Idioma:
Español
X-NetStat Pro 5.63 contiene una vulnerabilidad local de desbordamiento de búfer que permite a atacantes locales ejecutar código arbitrario sobrescribiendo el registro EIP mediante un desbordamiento de búfer de 264 bytes. Los atacantes pueden inyectar shellcode en la memoria y usar una técnica de egg hunter para localizar y ejecutar la carga útil cuando la aplicación procesa una entrada maliciosa a través de la funcionalidad de Cliente HTTP o Reglas.
Gravedad CVSS v4.0: ALTA
Última modificación:
24/03/2026

Vulnerabilidad en Meeplace Business Review Script (CVE-2019-25638)
Fecha de publicación:
24/03/2026
Idioma:
Español
Meeplace Business Review Script contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través del parámetro 'id'. Los atacantes pueden enviar solicitudes GET al endpoint addclick.PHP con payloads SQL manipulados en el parámetro 'id' para extraer información sensible de la base de datos o causar denegación de servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Matrimony Website Script (CVE-2019-25639)
Fecha de publicación:
24/03/2026
Idioma:
Español
Script de Sitio Web de Matrimonio M-Plus contiene múltiples vulnerabilidades de inyección SQL que permiten a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través de varios parámetros POST. Los atacantes pueden inyectar cargas útiles SQL maliciosas en parámetros como txtGender, religion, Fage y cboCountry en simplesearch_results.php, advsearch_results.php, specialcase_results.php, locational_results.php y registration2.php para extraer información sensible de la base de datos o ejecutar comandos SQL arbitrarios.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Zeeways Matrimony CMS (CVE-2019-25635)
Fecha de publicación:
24/03/2026
Idioma:
Español
Zeeways Matrimony CMS contiene múltiples vulnerabilidades de inyección SQL que permiten a atacantes no autenticados manipular consultas a la base de datos a través del endpoint profile_list. Los atacantes pueden inyectar código SQL a través de los parámetros up_cast, s_mother y s_religion para extraer información sensible de la base de datos utilizando técnicas basadas en tiempo o basadas en errores.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Zeeways Jobsite CMS (CVE-2019-25636)
Fecha de publicación:
24/03/2026
Idioma:
Español
Zeeways Jobsite CMS contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través del parámetro GET 'id'. Los atacantes pueden enviar solicitudes manipuladas a news_details.php, jobs_details.php o job_cmp_details.php con valores 'id' maliciosos utilizando sentencias GROUP BY y CASE para extraer información sensible de la base de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en AIDA64 Business (CVE-2019-25631)
Fecha de publicación:
24/03/2026
Idioma:
Español
AIDA64 Business 5.99.4900 contiene una vulnerabilidad de desbordamiento de búfer de manejo de excepciones estructurado que permite a atacantes locales ejecutar código arbitrario sobrescribiendo punteros SEH con shellcode malicioso. Los atacantes pueden inyectar shellcode egg hunter a través del campo de nombre para mostrar de SMTP en las preferencias o la funcionalidad del asistente de informes para activar el desbordamiento y ejecutar código con privilegios de aplicación.
Gravedad CVSS v4.0: ALTA
Última modificación:
27/03/2026
Suscribirse a Vulnerabilidades