Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2020-37063
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** TFTP Turbo 4.6.1273 contains an unquoted service path vulnerability that allows local attackers to potentially execute arbitrary code with elevated privileges. Attackers can exploit the unquoted path in the service configuration to inject malicious executables that will be launched with LocalSystem permissions.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/02/2026

CVE-2020-37064
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** EPSON EasyMP Network Projection 2.81 contains an unquoted service path vulnerability in the EMP_NSWLSV service that allows local users to potentially execute arbitrary code. Attackers can exploit the unquoted path in C:\Program Files (x86)\EPSON Projector\EasyMP Network Projection V2\ to inject malicious code that would execute with LocalSystem privileges.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/02/2026

CVE-2020-37045
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Veritas NetBackup 7.0 contains an unquoted service path vulnerability in the NetBackup INET Daemon service that allows local users to potentially execute arbitrary code. Attackers can exploit the unquoted path in C:\Program Files\Veritas\NetBackup\bin\bpinetd.exe to inject malicious code that would execute with elevated LocalSystem privileges.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/02/2026

CVE-2020-37047
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Deep Instinct Windows Agent 1.2.29.0 contains an unquoted service path vulnerability in the DeepMgmtService that allows local users to potentially execute code with elevated privileges. Attackers can exploit the unquoted path in C:\Program Files\HP Sure Sense\DeepMgmtService.exe to inject malicious code that would execute with LocalSystem permissions during service startup.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/02/2026

CVE-2020-37048
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Iskysoft Application Framework Service 2.4.3.241 contains an unquoted service path vulnerability that allows local users to potentially execute arbitrary code with elevated privileges. Attackers can exploit the unquoted path in the service configuration to inject malicious executables that would be run with the service's high-level system permissions.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/02/2026

CVE-2020-37037
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Avast SecureLine 5.5.522.0 contains an unquoted service path vulnerability that allows local users to potentially execute code with elevated system privileges. Attackers can exploit the unquoted path in the service configuration to inject malicious code that would execute with LocalSystem account permissions during service startup.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/02/2026

CVE-2023-54343
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** QWE DL 2.0.1 mobile web application contains a persistent input validation vulnerability allowing remote attackers to inject malicious script code through path parameter manipulation. Attackers can exploit the vulnerability to execute persistent cross-site scripting attacks, potentially leading to session hijacking and application module manipulation.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/02/2026

CVE-2022-50940
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Knap Advanced PHP Login 3.1.3 contains a persistent cross-site scripting vulnerability that allows remote attackers to inject malicious script code in the name parameter. Attackers can exploit the vulnerability to execute arbitrary scripts in users and activity log backend modules, potentially leading to session hijacking and persistent phishing attacks.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/02/2026

CVE-2022-50941
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** BootCommerce 3.2.1 contains persistent input validation vulnerabilities that allow remote attackers to inject malicious script code through guest order checkout input fields. Attackers can exploit unvalidated input parameters to execute arbitrary scripts, potentially leading to session hijacking, phishing attacks, and application module manipulation.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/02/2026

CVE-2022-50942
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Inciga Web 2.8.2 contains a client-side cross-site scripting vulnerability that allows remote attackers to inject malicious script codes through the icinga.min.js file. Attackers can exploit the EventListener.handleEvent method to execute arbitrary scripts, potentially leading to session hijacking and non-persistent phishing attacks.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/02/2026

CVE-2022-50950
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Webile 1.0.1 contains a directory traversal vulnerability that allows remote attackers to manipulate file system paths without authentication. Attackers can exploit path manipulation to access sensitive system directories and potentially compromise the mobile device's local file system.
Gravedad CVSS v4.0: ALTA
Última modificación:
01/02/2026

CVE-2022-50951
Fecha de publicación:
01/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** WiFi File Transfer 1.0.8 contains a persistent cross-site scripting vulnerability that allows remote attackers to inject malicious script codes through file and folder names. Attackers can exploit the web server's input validation weakness to execute arbitrary JavaScript when users preview infected file paths, potentially compromising user browser sessions.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/02/2026
Suscribirse a Vulnerabilidades