Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Simple Startup Manager (CVE-2020-37031)
Fecha de publicación:
30/01/2026
Idioma:
Español
Simple Startup Manager 1.17 contiene una vulnerabilidad de desbordamiento de búfer local que permite a los atacantes ejecutar código arbitrario sobrescribiendo la memoria a través del parámetro de entrada 'File'. Los atacantes pueden crear una carga útil maliciosa de 268 bytes para activar la ejecución de código, eludiendo DEP y sobrescribiendo direcciones de memoria para iniciar calc.exe.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Infor Storefront B2B (CVE-2020-37033)
Fecha de publicación:
30/01/2026
Idioma:
Español
Infor Storefront B2B 1.0 contiene una vulnerabilidad de inyección SQL que permite a los atacantes manipular consultas de la base de datos a través del parámetro 'usr_name' en las solicitudes de inicio de sesión. Los atacantes pueden explotar la vulnerabilidad inyectando código SQL malicioso en el parámetro 'usr_name' para potencialmente extraer o modificar información de la base de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en HelloWeb (CVE-2020-37034)
Fecha de publicación:
30/01/2026
Idioma:
Español
HelloWeb 2.0 contiene una vulnerabilidad de descarga arbitraria de archivos que permite a atacantes remotos descargar archivos del sistema manipulando los parámetros de ruta de archivo y nombre de archivo. Los atacantes pueden enviar solicitudes GET manipuladas a download.asp con salto de directorio para acceder a archivos de configuración y del sistema sensibles.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en e-Learning PHP Script (CVE-2020-37035)
Fecha de publicación:
30/01/2026
Idioma:
Español
e-Learning PHP Script 0.1.0 contiene una vulnerabilidad de inyección SQL en la funcionalidad de búsqueda que permite a los atacantes manipular consultas de base de datos a través de entrada de usuario no validada. Los atacantes pueden inyectar código SQL malicioso en el parámetro 'search' para potencialmente extraer, modificar o acceder a información sensible de la base de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Nidesoft DVD Ripper de Nidesoft Studio (CVE-2020-37024)
Fecha de publicación:
30/01/2026
Idioma:
Español
Nidesoft DVD Ripper 5.2.18 contiene una vulnerabilidad local de desbordamiento de búfer en el parámetro de registro License Code que permite a los atacantes ejecutar código arbitrario. Los atacantes pueden crear una carga útil maliciosa y pegarla en el campo License Code para desencadenar un desbordamiento de búfer basado en pila y ejecutar shellcode.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Port Forwarding Wizard (CVE-2020-37025)
Fecha de publicación:
30/01/2026
Idioma:
Español
Port Forwarding Wizard 4.8.0 contiene una vulnerabilidad de desbordamiento de búfer que permite a atacantes locales ejecutar código arbitrario a través de una solicitud larga en la función de Registro. Los atacantes pueden crear una carga útil maliciosa con una etiqueta egg y sobrescribir los manejadores SEH para ejecutar potencialmente shellcode en sistemas Windows vulnerables.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Sickbeard alpha (CVE-2020-37026)
Fecha de publicación:
30/01/2026
Idioma:
Español
Sickbeard alpha contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes deshabilitar la autenticación al enviar parámetros de configuración manipulados. Los atacantes pueden engañar a los usuarios para que envíen un formulario malicioso que borra el nombre de usuario y la contraseña web, eliminando eficazmente la protección de autenticación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Sickbeard alpha (CVE-2020-37027)
Fecha de publicación:
30/01/2026
Idioma:
Español
Sickbeard alpha contiene una vulnerabilidad de inyección de comandos remota que permite a atacantes no autenticados ejecutar comandos arbitrarios a través de la configuración de scripts adicionales. Los atacantes pueden establecer comandos maliciosos en el campo de scripts adicionales y activar el procesamiento para ejecutar código remoto en la instalación vulnerable de Sickbeard.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Socusoft Photo to Video Converter Professional (CVE-2020-37028)
Fecha de publicación:
30/01/2026
Idioma:
Español
Socusoft Photo to Video Converter Professional 8.07 contiene una vulnerabilidad local de desbordamiento de búfer en el campo de entrada 'Output Folder' que permite a los atacantes ejecutar código arbitrario. Los atacantes pueden elaborar una carga útil maliciosa y pegarla en el campo de la carpeta de salida para desencadenar un desbordamiento de búfer basado en pila y potencialmente ejecutar shellcode.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Koken CMS de Koken (CVE-2020-37023)
Fecha de publicación:
30/01/2026
Idioma:
Español
Koken CMS 0.22.24 contiene una vulnerabilidad de carga de archivos que permite a atacantes autenticados eludir las restricciones de extensión de archivo renombrando archivos PHP maliciosos. Los atacantes pueden cargar archivos PHP con capacidades de ejecución de comandos del sistema manipulando la solicitud de carga de archivos a través de un proxy web y cambiando la extensión del archivo.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

CVE-2019-25232
Fecha de publicación:
30/01/2026
Idioma:
Inglés
*** Pendiente de traducción *** NetPCLinker 1.0.0.0 contains a buffer overflow vulnerability in the Clients Control Panel DNS/IP field that allows attackers to execute arbitrary shellcode. Attackers can craft a malicious payload in the DNS/IP input to overwrite SEH handlers and execute shellcode when adding a new client.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Backstage (CVE-2026-25152)
Fecha de publicación:
30/01/2026
Idioma:
Español
Backstage es un framework abierto para construir portales de desarrolladores, y @backstage/plugin-techdocs-node proporciona funcionalidades comunes de node.js para TechDocs. En versiones de @backstage/plugin-techdocs-node anteriores a la 1.13.11 y 1.14.1, una vulnerabilidad de salto de ruta en el generador local de TechDocs permite a los atacantes leer archivos arbitrarios del sistema de archivos del host cuando Backstage está configurado con 'techdocs.generator.runIn: local'. Al procesar documentación de fuentes no confiables, los enlaces simbólicos dentro del directorio docs son seguidos por MkDocs durante el proceso de construcción. El contenido de los archivos se incrusta en el HTML generado y se expone a los usuarios que pueden ver la documentación. Esta vulnerabilidad está corregida en las versiones 1.13.11 y 1.14.1 de '@backstage/plugin-techdocs-node'. Algunas soluciones alternativas están disponibles. Cambie a 'runIn: docker' en 'app-config.yaml' y/o restrinja el acceso de escritura a los repositorios de origen de TechDocs solo a usuarios de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/02/2026
Suscribirse a Vulnerabilidades