Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ZKTeco ZKAccess Security System (CVE-2016-20032)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKAccess Security System 5.3.1 contiene una vulnerabilidad de cross-site scripting almacenada que permite a los atacantes ejecutar código HTML y de script arbitrario inyectando cargas útiles maliciosas a través de los parámetros POST 'holiday_name' y 'memo'. Los atacantes pueden enviar solicitudes manipuladas con código de script en estos parámetros para comprometer las sesiones del navegador del usuario y robar información sensible.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en ZKTeco ZKBioSecurity (CVE-2016-20027)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKBioSecurity 3.0 contiene múltiples vulnerabilidades de cross-site scripting reflejado que permiten a los atacantes ejecutar código HTML y de script arbitrario inyectando cargas útiles maliciosas a través de parámetros no saneados en múltiples scripts. Los atacantes pueden crear URLs maliciosas con cargas útiles de XSS en parámetros vulnerables para ejecutar scripts en la sesión del navegador de un usuario dentro del contexto de la aplicación afectada.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en ZKTeco ZKBioSecurity (CVE-2016-20028)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKBioSecurity 3.0 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes realizar acciones administrativas engañando a usuarios con sesión iniciada para que visiten sitios web maliciosos. Los atacantes pueden elaborar peticiones HTTP que añaden cuentas de superadministrador sin comprobaciones de validez, lo que permite el acceso administrativo no autorizado cuando los usuarios autenticados visitan páginas controladas por el atacante.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en ZKTeco ZKBioSecurity (CVE-2016-20029)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKBioSecurity 3.0 contiene una vulnerabilidad de manipulación de rutas de archivo que permite a los atacantes acceder a archivos arbitrarios modificando las rutas de archivo utilizadas para recuperar recursos locales. Los atacantes pueden manipular los parámetros de ruta para eludir los controles de acceso y recuperar información sensible, incluyendo archivos de configuración, código fuente y recursos de aplicación protegidos.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en ZKTeco ZKBioSecurity (CVE-2016-20030)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKBioSecurity 3.0 contiene una vulnerabilidad de enumeración de usuarios que permite a atacantes no autenticados descubrir nombres de usuario válidos al enviar caracteres parciales a través del parámetro username. Los atacantes pueden enviar solicitudes al script authLoginAction!login.do con diferentes entradas de nombre de usuario para enumerar cuentas de usuario válidas basándose en las respuestas de la aplicación.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en ZKTeco ZKBioSecurity (CVE-2016-20031)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKBioSecurity 3.0 contiene una vulnerabilidad de omisión de autorización local en visLogin.jsp que permite a los atacantes autenticarse sin credenciales válidas suplantando solicitudes de localhost. Los atacantes pueden explotar el método EnvironmentUtil.getClientIp() que trata la dirección de bucle invertido IPv6 0:0:0:0:0:0:0:1 como 127.0.0.1 y se autentica usando la IP como nombre de usuario con la contraseña codificada 123456 para acceder a información sensible y realizar acciones no autorizadas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en RealtyScripts de Next Click Ventures (CVE-2015-20121)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 contiene vulnerabilidades de inyección SQL que permiten a atacantes no autenticados manipular consultas de la base de datos inyectando código SQL arbitrario a través del parámetro GET 'u_id' en /admin/users.php y el parámetro POST 'agent[]' en /admin/mailer.php. Los atacantes pueden explotar técnicas de inyección SQL ciega basada en tiempo para extraer información sensible de la base de datos o causar denegación de servicio a través de payloads basados en sleep.
Gravedad CVSS v4.0: ALTA
Última modificación:
18/03/2026

Vulnerabilidad en ZKTeco ZKTime.Net (CVE-2016-20024)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKTime.Net 3.0.1.6 contiene una vulnerabilidad de permisos de archivo inseguros que permite a usuarios sin privilegios realizar una escalada de privilegios mediante la modificación de archivos ejecutables. Los atacantes pueden explotar los permisos de escritura global (world-writable) en el directorio ZKTimeNet3.0 y su contenido para reemplazar archivos ejecutables con binarios maliciosos para la escalada de privilegios.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en ZKTeco ZKAccess Professional (CVE-2016-20025)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKAccess Professional 3.5.3 contiene una vulnerabilidad de permisos de archivo inseguros que permite a los usuarios autenticados escalar privilegios modificando archivos ejecutables. Los atacantes pueden aprovechar el permiso de Modificar otorgado al grupo de Usuarios Autenticados para reemplazar binarios ejecutables con código malicioso para la escalada de privilegios.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en ZKTeco ZKBioSecurity (CVE-2016-20026)
Fecha de publicación:
16/03/2026
Idioma:
Español
ZKTeco ZKBioSecurity 3.0 contiene credenciales codificadas en el servidor Apache Tomcat incluido que permiten a atacantes no autenticados acceder a la aplicación de gestión. Los atacantes pueden autenticarse con credenciales codificadas almacenadas en tomcat-users.xml para cargar archivos WAR maliciosos que contienen aplicaciones JSP y ejecutar código arbitrario con privilegios de SISTEMA.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en RealtyScript de Next Click Ventures (CVE-2015-20116)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 no sanea correctamente las subidas de archivos CSV, permitiendo a los atacantes inyectar scripts maliciosos a través de parámetros de nombre de archivo en datos de formulario multipart. Los atacantes pueden subir archivos con cargas útiles de XSS en el campo de nombre de archivo para ejecutar JavaScript arbitrario en los navegadores de los usuarios cuando el archivo es procesado o mostrado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026

Vulnerabilidad en RealtyScript de Next Click Ventures (CVE-2015-20117)
Fecha de publicación:
16/03/2026
Idioma:
Español
Next Click Ventures RealtyScript 4.0.2 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a atacantes no autenticados crear cuentas de usuario no autorizadas y usuarios administrativos mediante la creación de formularios maliciosos. Los atacantes pueden enviar datos de formulario ocultos a los puntos finales /admin/addusers.PHP y /admin/editadmins.PHP para registrar nuevos usuarios con credenciales arbitrarias y escalar privilegios a nivel SUPERUSER.
Gravedad CVSS v4.0: MEDIA
Última modificación:
19/03/2026
Suscribirse a Vulnerabilidades