Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2020-37239

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** libbabl 0.1.62 contains a broken double free detection vulnerability that allows attackers to bypass memory safety checks by exploiting signature overwriting in freed chunks. Attackers can call babl_free() twice on the same pointer without triggering detection, as libc&#39;s malloc metadata overwrites babl&#39;s signature field upon freeing, enabling potential memory corruption and code execution.

Gravedad CVSS v4.0: CRÍTICA

Última modificación:

16/05/2026

CVE-2020-37240

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Queue Management System 4.0.0 contains a stored cross-site scripting vulnerability that allows authenticated administrators to inject malicious scripts through user creation fields. Attackers can insert JavaScript payloads in the First Name, Last Name, and Email fields during user creation, which execute when viewing the User List page.

Gravedad CVSS v4.0: MEDIA

Última modificación:

16/05/2026

CVE-2020-37241

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** bloofoxCMS 0.5.2.1 contains a cross-site request forgery vulnerability that allows attackers to perform administrative actions by tricking logged-in users into visiting malicious pages. Attackers can craft hidden forms targeting the admin user creation endpoint to add new administrative accounts with arbitrary credentials without requiring explicit user consent.

Gravedad CVSS v4.0: MEDIA

Última modificación:

16/05/2026

CVE-2020-37242

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Supsystic Ultimate Maps 1.1.12 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the &#39;sidx&#39; GET parameter. Attackers can send crafted requests to the getListForTbl action with boolean-based blind or time-based blind SQL injection payloads to extract sensitive database information.

Gravedad CVSS v4.0: ALTA

Última modificación:

16/05/2026

CVE-2020-37243

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Supsystic Pricing Table 1.8.7 contains an SQL injection vulnerability in the &#39;sidx&#39; GET parameter that allows unauthenticated attackers to execute arbitrary SQL queries through the getListForTbl action. The plugin also contains stored cross-site scripting vulnerabilities in the &#39;Edit name&#39; and &#39;Edit HTML&#39; fields that execute malicious scripts when viewing pricing tables.

Gravedad CVSS v4.0: ALTA

Última modificación:

16/05/2026

CVE-2020-37244

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Supsystic Membership 1.4.7 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the &#39;search&#39; and &#39;sidx&#39; parameters. Attackers can send GET requests to the badges module with crafted payloads to extract sensitive database information using time-based blind or UNION-based SQL injection techniques.

Gravedad CVSS v4.0: ALTA

Última modificación:

16/05/2026

CVE-2020-37245

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Supsystic Digital Publications 1.6.9 contains a path traversal vulnerability in the Folder input field that allows attackers to access files outside the web root by injecting directory traversal sequences. Additionally, the plugin fails to sanitize input fields in publication settings, allowing stored cross-site scripting attacks through script injection in parameters like Area Width and Publication Width that execute when publications are viewed or edited.

Gravedad CVSS v4.0: ALTA

Última modificación:

16/05/2026

CVE-2020-37246

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Supsystic Backup 2.3.9 contains a local file inclusion vulnerability that allows unauthenticated attackers to read and delete arbitrary files by manipulating the download path parameter. Attackers can modify the download parameter in admin.php requests with directory traversal sequences to access sensitive files like /etc/passwd or delete files via the removeAction parameter.

Gravedad CVSS v4.0: MEDIA

Última modificación:

16/05/2026

CVE-2020-37231

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Privacy Drive 3.17.0 contains an unquoted service path vulnerability in the pdsvc.exe service binary that allows local attackers to escalate privileges by exploiting the service startup process. Attackers can place malicious executables in the unquoted path directories to execute arbitrary code with LocalSystem privileges during service startup or system reboot.

Gravedad CVSS v4.0: ALTA

Última modificación:

16/05/2026

CVE-2020-37232

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Advanced System Care Service 13.0.0.157 contains an unquoted service path vulnerability in the AdvancedSystemCareService13 service binary path that allows local attackers to escalate privileges. Attackers can place malicious executables in the system root path that will be executed with LocalSystem privileges during service startup or system reboot.

Gravedad CVSS v4.0: ALTA

Última modificación:

16/05/2026

CVE-2020-37233

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** WordPress Plugin Buddypress 6.2.0 contains a persistent cross-site scripting vulnerability that allows authenticated attackers with moderator privileges to inject malicious script code through the figure parameter in wp:html blocks. Attackers can inject iframe elements with event handlers like onload that execute when administrators or privileged users preview or view the affected page content, enabling session hijacking and persistent phishing attacks.

Gravedad CVSS v4.0: MEDIA

Última modificación:

16/05/2026

CVE-2020-37234

Fecha de publicación:

16/05/2026

Idioma:

Inglés

*** Pendiente de traducción *** Internet Download Manager 6.38.12 contains a buffer overflow vulnerability in the Scheduler component that allows local attackers to crash the application by supplying oversized input. Attackers can paste malicious data exceeding 5000 bytes into the &#39;Open the following file when done&#39; field to trigger a denial of service condition.

Gravedad CVSS v4.0: MEDIA

Última modificación:

16/05/2026

Suscribirse a Vulnerabilidades