Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2020-37085
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** VirtualTablet Server 3.0.2 contains a denial of service vulnerability that allows attackers to crash the service by sending oversized string payloads through the Thrift protocol. Attackers can exploit the vulnerability by sending a long string to the send_say() method, causing the server to become unresponsive.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

CVE-2020-37086
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Easy Transfer 1.7 iOS mobile application contains a directory traversal vulnerability that allows remote attackers to access unauthorized file system paths without authentication. Attackers can exploit the vulnerability by manipulating path parameters in GET and POST requests to list or download sensitive system files and inject malicious scripts into application parameters.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/02/2026

CVE-2020-37088
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** School ERP Pro 1.0 contains a file disclosure vulnerability that allows unauthenticated attackers to read arbitrary files by manipulating the 'document' parameter in download.php. Attackers can access sensitive configuration files by supplying directory traversal paths to retrieve system credentials and configuration information.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

CVE-2020-37089
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** School ERP Pro 1.0 contains a SQL injection vulnerability in the 'es_messagesid' parameter that allows attackers to manipulate database queries through GET requests. Attackers can exploit the vulnerable parameter by injecting crafted SQL statements to potentially extract, modify, or delete database information.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

CVE-2020-37076
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Victor CMS version 1.0 contains a SQL injection vulnerability in the 'post' parameter on post.php that allows remote attackers to manipulate database queries. Attackers can exploit this vulnerability by sending crafted UNION SELECT payloads to extract database information through boolean-based, error-based, and time-based injection techniques.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

CVE-2020-37077
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Booked Scheduler 2.7.7 contains a directory traversal vulnerability in the manage_email_templates.php script that allows authenticated administrators to access unauthorized files. Attackers can exploit the vulnerable 'tn' parameter to read files outside the intended directory by manipulating directory path traversal techniques.
Gravedad CVSS v4.0: MEDIA
Última modificación:
03/02/2026

CVE-2020-37078
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** i-doit Open Source CMDB 1.14.1 contains a file deletion vulnerability in the import module that allows authenticated attackers to delete arbitrary files by manipulating the delete_import parameter. Attackers can send a POST request to the import module with a crafted filename to remove files from the server's filesystem.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

CVE-2020-37080
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** webTareas 2.0.p8 contains a file deletion vulnerability in the print_layout.php administration component that allows authenticated attackers to delete arbitrary files. Attackers can exploit the vulnerability by manipulating the 'atttmp1' parameter to specify and delete files on the server through an unauthenticated file deletion mechanism.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

CVE-2020-37081
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** Fishing Reservation System 7.5 contains multiple remote SQL injection vulnerabilities in admin.php, cart.php, and calendar.php that allow attackers to inject malicious SQL commands. Attackers can exploit vulnerable parameters like uid, pid, type, m, y, and code to compromise the database management system and web application without user interaction.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

CVE-2020-37082
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** webERP 4.15.1 contains an unauthenticated file access vulnerability that allows remote attackers to download database backup files without authentication. Attackers can directly access generated backup files in the companies/weberp/ directory by requesting the Backup_[timestamp].sql.gz file.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

CVE-2020-37070
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** CloudMe 1.11.2 contains a buffer overflow vulnerability that allows remote attackers to execute arbitrary code through crafted network packets. Attackers can exploit the vulnerability by sending a specially crafted payload to the CloudMe service running on port 8888, enabling remote code execution.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2026

CVE-2020-37071
Fecha de publicación:
03/02/2026
Idioma:
Inglés
*** Pendiente de traducción *** CraftCMS 3 vCard Plugin 1.0.0 contains a deserialization vulnerability that allows unauthenticated attackers to execute arbitrary PHP code through a crafted payload. Attackers can generate a malicious serialized payload that triggers remote code execution by exploiting the plugin's vCard download functionality with a specially crafted request.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
03/02/2026
Suscribirse a Vulnerabilidades