Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en All-Dynamics Software (CVE-2020-36913)
Fecha de publicación:
06/01/2026
Idioma:
Español
All-Dynamics Software enlogic:show 2.0.2 contiene una vulnerabilidad de fijación de sesión que permite a los atacantes establecer un identificador de sesión PHP predefinido durante el proceso de inicio de sesión. Los atacantes pueden falsificar peticiones HTTP GET a welcome.php con un token de sesión manipulado para eludir la autenticación y potencialmente ejecutar ataques de falsificación de petición en sitios cruzados.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en QiHang Media Web (QH.aspx) Digital Signage de Shenzhen Xingmeng Qihang Media Co., Ltd. (CVE-2020-36914)
Fecha de publicación:
06/01/2026
Idioma:
Español
QiHang Media Web Digital Signage 3.0.9 contiene una sensible vulnerabilidad de revelación de información que permite a atacantes remotos interceptar credenciales de autenticación de usuario a través de la transmisión de cookie en texto claro. Los atacantes pueden realizar ataques man-in-the-middle para capturar y potencialmente hacer un uso indebido de las credenciales de autenticación almacenadas transmitidas de manera insegura.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Adtecdigital (CVE-2020-36915)
Fecha de publicación:
06/01/2026
Idioma:
Español
Adtec Digital SignEdje Digital Signage Player v2.08.28 contiene múltiples credenciales predeterminadas codificadas que permiten acceso remoto no autenticado a las interfaces web, telnet y SSH. Los atacantes pueden explotar estas credenciales para obtener acceso a nivel de root y ejecutar comandos del sistema en múltiples versiones de productos de Adtec Digital.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en TDM Digital Signage PC Player de Tdmsignage (CVE-2020-36916)
Fecha de publicación:
06/01/2026
Idioma:
Español
TDM Digital Signage PC Player 4.1.0.4 contiene una vulnerabilidad de elevación de privilegios que permite a usuarios autenticados modificar archivos ejecutables. Los atacantes pueden aprovechar los permisos de 'Modificar' para usuarios autenticados para reemplazar archivos ejecutables con binarios maliciosos y obtener acceso elevado al sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en iDS6 DSSPro Digital Signage System de Guangzhou Yeroo Tech Co., Ltd. (CVE-2020-36917)
Fecha de publicación:
06/01/2026
Idioma:
Español
iDS6 DSSPro Digital Signage System 6.2 contiene una sensible vulnerabilidad de revelación de información que permite a atacantes remotos interceptar credenciales de autenticación a través de la transmisión de cookies en texto claro. Los atacantes pueden explotar la función autoSave para capturar contraseñas de usuario durante ataques man-in-the-middle en comunicaciones HTTP.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Secure Computing SnapGear Management Console SG560 3.1.5 Cross-Site Request Forgery via Admin Users (CVE-2020-36908)
Fecha de publicación:
06/01/2026
Idioma:
Español
SnapGear Management Console SG560 versión 3.1.5 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes realizar acciones administrativas sin el consentimiento del usuario. Los atacantes pueden elaborar una página web maliciosa que envía automáticamente un formulario para crear una nueva cuenta de superusuario con privilegios administrativos completos cuando un usuario autenticado visita la página.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/02/2026

Vulnerabilidad en SnapGear Management Console SG560 de Secure Computing (CVE-2020-36909)
Fecha de publicación:
06/01/2026
Idioma:
Español
SnapGear Management Console SG560 3.1.5 contiene una vulnerabilidad de manipulación de archivos que permite a usuarios autenticados leer, escribir y eliminar archivos utilizando el script CGI edit_config_files. Los atacantes pueden manipular los parámetros de solicitud POST en /cgi-bin/cgix/edit_config_files para acceder y modificar archivos fuera del directorio /etc/config/ previsto.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/02/2026

Vulnerabilidad en FNIP-8x16A de P5 (CVE-2020-36906)
Fecha de publicación:
06/01/2026
Idioma:
Español
P5 FNIP-8x16A FNIP-4xSH 1.0.20 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes realizar acciones administrativas sin el consentimiento del usuario. Los atacantes pueden crear páginas web maliciosas para añadir nuevos usuarios administradores, cambiar contraseñas y modificar configuraciones del sistema engañando a usuarios autenticados para que carguen un formulario especialmente diseñado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Aerohive HiveOS de Extreme Networks (CVE-2020-36907)
Fecha de publicación:
06/01/2026
Idioma:
Español
Aerohive HiveOS contiene una vulnerabilidad de denegación de servicio en la interfaz de usuario de NetConfig que permite a atacantes no autenticados dejar inutilizable la interfaz web. Los atacantes pueden enviar una solicitud HTTP especialmente diseñada al script action.php5 con parámetros específicos para desencadenar una interrupción del servicio de 5 minutos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en CAYIN Technology (CVE-2020-36910)
Fecha de publicación:
06/01/2026
Idioma:
Español
Cayin Signage Media Player 3.0 contiene una vulnerabilidad de inyección de comandos remota autenticada en las páginas system.cgi y wizard_system.cgi. Los atacantes pueden explotar el parámetro 'NTP_Server_IP' con credenciales predeterminadas para ejecutar comandos de shell arbitrarios como root.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en FIBAR GROUP S.A. (CVE-2020-36905)
Fecha de publicación:
06/01/2026
Idioma:
Español
FIBARO System Home Center 5.021 contiene una vulnerabilidad de inclusión remota de ficheros en la API de proxy no documentada que permite a los atacantes incluir scripts arbitrarios del lado del cliente. Los atacantes pueden explotar el parámetro GET 'url' para inyectar JavaScript malicioso y potencialmente secuestrar sesiones de usuario o manipular el contenido de la página.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

CVE-2025-46696
Fecha de publicación:
06/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** Dell Secure Connect Gateway (SCG) 5.0 Appliance and Application, version(s) versions 5.26 to 5.30, contain(s) an Execution with Unnecessary Privileges vulnerability. A high privileged attacker with local access could potentially exploit this vulnerability, leading to Elevation of privileges.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2026
Suscribirse a Vulnerabilidades