Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en R de R-Project (CVE-2019-25485)
Fecha de publicación:
11/03/2026
Idioma:
Español
R 3.4.4 en Windows x64 contiene una vulnerabilidad de desbordamiento de búfer en el campo del menú de idioma de Preferencias de la GUI que permite a atacantes locales eludir las protecciones DEP y ASLR. Los atacantes pueden inyectar una carga útil manipulada a través de la preferencia Idioma para menús para activar un pivote de cadena de gestores de excepciones estructuradas y ejecutar shellcode arbitrario con privilegios de aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Varient SQL Inj. de Varient (CVE-2019-25486)
Fecha de publicación:
11/03/2026
Idioma:
Español
Varient 1.6.1 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través del parámetro user_id. Los atacantes pueden enviar solicitudes POST con cargas útiles SQL manipuladas en el campo user_id para eludir la autenticación y extraer información sensible de la base de datos.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Intelbras (CVE-2019-25472)
Fecha de publicación:
11/03/2026
Idioma:
Español
IntelBras Telefone IP TIP200 y 200 LITE contienen una vulnerabilidad de lectura arbitraria de archivos no autenticada en la función dumpConfigFile, accesible a través del endpoint cgiServer.exx. Los atacantes pueden enviar solicitudes GET a /cgi-bin/cgiServer.exx con el parámetro command que contiene dumpConfigFile() para leer archivos sensibles, incluyendo /etc /shadow y archivos de configuración, sin la debida autorización.
Gravedad CVSS v4.0: ALTA
Última modificación:
12/03/2026

Vulnerabilidad en Easy MP3 Downloader (CVE-2019-25474)
Fecha de publicación:
11/03/2026
Idioma:
Español
Easy MP3 Downloader 4.7.8.8 contiene una vulnerabilidad de desbordamiento de búfer que permite a atacantes locales bloquear la aplicación al proporcionar un código de desbloqueo excesivamente largo. Los atacantes pueden generar un archivo que contenga 6000 caracteres 'A' y pegar el contenido en el campo Código de Desbloqueo durante el inicio de la aplicación para desencadenar una condición de denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Top-Password (CVE-2019-25475)
Fecha de publicación:
11/03/2026
Idioma:
Español
SQL Server Password Changer 1.90 contiene una vulnerabilidad de desbordamiento de búfer que permite a atacantes locales bloquear la aplicación al suministrar una carga útil excesivamente grande. Los atacantes pueden inyectar 6000 bytes de datos en el campo de Nombre de Usuario y Código de Registro para desencadenar una condición de denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Outlook Password Recovery (CVE-2019-25476)
Fecha de publicación:
11/03/2026
Idioma:
Español
Outlook Password Recovery 2.10 contiene una vulnerabilidad de desbordamiento de búfer que permite a atacantes locales bloquear la aplicación al proporcionar una carga útil sobredimensionada. Los atacantes pueden crear un archivo de texto malicioso que contenga 6000 bytes de datos y pegarlo en los campos User Name y Registration Code para desencadenar una condición de denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en RAR Password Recovery de Top-Password (CVE-2019-25477)
Fecha de publicación:
11/03/2026
Idioma:
Español
RAR Password Recovery 1.80 contiene una vulnerabilidad de desbordamiento de búfer que permite a atacantes locales bloquear la aplicación al proporcionar una carga útil sobredimensionada en el diálogo de registro. Los atacantes pueden elaborar una cadena de entrada maliciosa que supere los 6000 bytes y pegarla en el campo de Nombre de Usuario y Código de Registro para desencadenar un bloqueo de la aplicación.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en GetGo Download Manager de Getgosoft (CVE-2019-25478)
Fecha de publicación:
11/03/2026
Idioma:
Español
GetGo Download Manager 6.2.2.3300 contiene una vulnerabilidad de desbordamiento de búfer que permite a atacantes remotos causar denegación de servicio enviando respuestas HTTP con encabezados excesivamente largos. Los atacantes pueden crear respuestas HTTP maliciosas con valores de encabezado sobredimensionados para bloquear la aplicación y dejarla no disponible.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en FileThingie de filethingie (CVE-2019-25471)
Fecha de publicación:
11/03/2026
Idioma:
Español
FileThingie 2.5.7 contiene una vulnerabilidad de carga arbitraria de archivos que permite a los atacantes cargar archivos maliciosos enviando archivos ZIP a través del endpoint ft2.php. Los atacantes pueden cargar archivos ZIP que contengan shells PHP, utilizar la funcionalidad de descompresión para extraerlos en directorios accesibles y ejecutar comandos arbitrarios a través de los archivos PHP extraídos.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
13/04/2026

Vulnerabilidad en docPrint Pro de Verypdf (CVE-2019-25467)
Fecha de publicación:
11/03/2026
Idioma:
Español
Verypdf docPrint Pro 8.0 contiene una vulnerabilidad de desbordamiento de búfer con manejo estructurado de excepciones que permite a atacantes locales ejecutar código arbitrario al proporcionar una carga útil codificada alfanumérica de tamaño excesivo en los campos de Contraseña de Usuario o Contraseña Maestra. Los atacantes pueden crear una carga útil maliciosa con shellcode codificado y manipulación de la cadena SEH para eludir protecciones y ejecutar una prueba de concepto de MessageBox cuando los campos de contraseña se procesan durante el cifrado de PDF.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en NetGain EM Plus de NetGain Systems (CVE-2019-25468)
Fecha de publicación:
11/03/2026
Idioma:
Español
NetGain EM Plus 10.1.68 contiene una vulnerabilidad de ejecución remota de código que permite a atacantes no autenticados ejecutar comandos de sistema arbitrarios mediante el envío de parámetros maliciosos al endpoint script_test.jsp. Los atacantes pueden enviar solicitudes POST con comandos de shell incrustados en el parámetro 'content' para ejecutar código y recuperar la salida del comando.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Folder Lock de Newsoftwares (CVE-2019-25469)
Fecha de publicación:
11/03/2026
Idioma:
Español
Folder Lock 7.7.9 contiene una vulnerabilidad de desbordamiento de búfer en el campo de registro de número de serie que permite a atacantes locales bloquear la aplicación al enviar una carga útil excesivamente grande. Los atacantes pueden pegar un búfer de 6000 bytes de datos arbitrarios en el campo 'Serial Number and Registration Key' para desencadenar una condición de denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades