Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SDT-CS3B1 de Telesquare (CVE-2017-20224)
Fecha de publicación:
16/03/2026
Idioma:
Español
El router Telesquare SKT LTE SDT-CS3B1 versión 1.2.0 contiene una vulnerabilidad de carga arbitraria de archivos que permite a atacantes no autenticados cargar contenido malicioso explotando métodos HTTP WebDAV habilitados. Los atacantes pueden usar los métodos PUT, DELETE, MKCOL, MOVE, COPY y PROPPATCH para cargar código ejecutable, eliminar archivos o manipular el contenido del servidor para la ejecución remota de código o la denegación de servicio.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
14/04/2026

Vulnerabilidad en SDT-CS3B1 de Telesquare (CVE-2017-20223)
Fecha de publicación:
16/03/2026
Idioma:
Español
La versión de firmware 1.2.0 del Telesquare SKT LTE Router SDT-CS3B1 contiene una vulnerabilidad de referencia directa a objeto insegura que permite a los atacantes eludir la autorización y acceder a recursos manipulando parámetros de entrada proporcionados por el usuario. Los atacantes pueden referenciar directamente objetos en el sistema para recuperar información sensible y acceder a funcionalidades sin los controles de acceso adecuados.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
14/04/2026

Vulnerabilidad en SDT-CS3B1 de Telesquare (CVE-2017-20222)
Fecha de publicación:
16/03/2026
Idioma:
Español
Telesquare SKT LTE Router SDT-CS3B1 versión de software 1.2.0 contiene una vulnerabilidad de reinicio remoto no autenticado que permite a los atacantes activar el reinicio del dispositivo sin autenticación. Los atacantes pueden enviar solicitudes POST al endpoint lte.cgi con el parámetro Command=Reboot para causar denegación de servicio al forzar el reinicio del router.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/04/2026

Vulnerabilidad en SDT-CS3B1 de Telesquare (CVE-2017-20221)
Fecha de publicación:
16/03/2026
Idioma:
Español
El router Telesquare SKT LTE SDT-CS3B1 versión 1.2.0 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a atacantes autenticados ejecutar comandos de sistema arbitrarios al explotar la falta de validación de peticiones. Los atacantes pueden crear páginas web maliciosas que realizan acciones administrativas cuando son visitadas por usuarios con sesión iniciada, lo que permite la ejecución de comandos con privilegios de router.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/04/2026

Vulnerabilidad en Serviio PRO de Serviio (CVE-2017-20217)
Fecha de publicación:
16/03/2026
Idioma:
Español
Serviio PRO 1.8 contiene una vulnerabilidad de revelación de información debido a una aplicación inadecuada del control de acceso en la API REST de configuración que permite a atacantes no autenticados acceder a información sensible. Atacantes remotos pueden enviar solicitudes especialmente diseñadas a los puntos finales de la API REST para recuperar datos de configuración potencialmente sensibles sin autenticación.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Serviio PRO de Serviio (CVE-2017-20218)
Fecha de publicación:
16/03/2026
Idioma:
Español
Serviio PRO 1.8 contiene una vulnerabilidad de ruta de búsqueda sin comillas en el servicio de Windows que permite a usuarios locales ejecutar código arbitrario con privilegios elevados al colocar ejecutables maliciosos en la ruta raíz del sistema. Además, permisos de directorio incorrectos con acceso total para el grupo Usuarios permiten a usuarios autenticados reemplazar el archivo ejecutable con binarios arbitrarios, lo que permite la escalada de privilegios durante el inicio del servicio o el reinicio del sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Serviio PRO de Serviio (CVE-2017-20219)
Fecha de publicación:
16/03/2026
Idioma:
Español
Servidor de streaming de medios DLNA Serviio PRO 1.8 contiene una vulnerabilidad de cross-site scripting basada en DOM que permite a los atacantes ejecutar código HTML y de script arbitrario inyectando cargas útiles maliciosas. Los atacantes pueden crear URLs con entrada maliciosa que se lee de document.location y se pasa a document.write() en el componente mediabrowser para ejecutar código en el contexto del navegador de un usuario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Serviio PRO de Serviio (CVE-2017-20220)
Fecha de publicación:
16/03/2026
Idioma:
Español
Serviio PRO 1.8 contiene una vulnerabilidad de control de acceso inadecuado en la API REST de Configuración que permite a atacantes no autenticados cambiar la contraseña de inicio de sesión del mediabrowser. Los atacantes pueden enviar solicitudes especialmente diseñadas a los puntos finales de la API REST para modificar credenciales sin autenticación.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Wowza Streaming Engine (CVE-2016-20033)
Fecha de publicación:
16/03/2026
Idioma:
Español
Wowza Streaming Engine 4.5.0 contiene una vulnerabilidad de escalada de privilegios local que permite a los usuarios autenticados escalar privilegios reemplazando archivos ejecutables debido a permisos de archivo incorrectos que otorgan acceso total al grupo Everyone. Los atacantes pueden reemplazar el binario nssm_x64.exe en los directorios de servicio del administrador y del motor con ejecutables maliciosos para ejecutar código con privilegios de LocalSystem cuando los servicios se reinician.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en Wowza Streaming Engine (CVE-2016-20034)
Fecha de publicación:
16/03/2026
Idioma:
Español
Wowza Streaming Engine 4.5.0 contiene una vulnerabilidad de escalada de privilegios que permite a usuarios autenticados de solo lectura elevar privilegios a administrador manipulando parámetros POST. Los atacantes pueden enviar solicitudes POST al endpoint de edición de usuario con accessLevel establecido en 'admin' y los parámetros advUser establecidos en 'true' y 'on' para obtener acceso administrativo.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2026

Vulnerabilidad en Wowza Streaming Engine (CVE-2016-20035)
Fecha de publicación:
16/03/2026
Idioma:
Español
Wowza Streaming Engine 4.5.0 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes realizar acciones administrativas mediante la elaboración de páginas web maliciosas. Los atacantes pueden engañar a los administradores que han iniciado sesión para que visiten un sitio malicioso que envía peticiones POST al punto final de edición de usuario para crear nuevas cuentas de administrador con credenciales arbitrarias.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en Wowza Streaming Engine (CVE-2016-20036)
Fecha de publicación:
16/03/2026
Idioma:
Español
Wowza Streaming Engine 4.5.0 contiene múltiples vulnerabilidades de cross-site scripting reflejado en la interfaz enginemanager, donde la entrada pasada a través de varios parámetros no se sanea correctamente antes de ser devuelta a los usuarios. Los atacantes pueden inyectar código de script malicioso a través de parámetros como appName, vhost, uiAppType y wowzaCloudDestinationType en múltiples puntos finales para ejecutar HTML y JavaScript arbitrarios en la sesión del navegador de un usuario.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026
Suscribirse a Vulnerabilidades