Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2019-25716

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Dräger Infinity Delta, Delta XL, and Kappa patient monitors contain a denial-of-service vulnerability that allows remote attackers to cause the monitor to reboot by sending a malformed network packet. Attackers can repeatedly send malformed network packets to disrupt patient monitoring until the device falls back to default configuration and loses network connectivity.
Gravedad CVSS v4.0: ALTA
Última modificación:
30/06/2026

CVE-2018-25435

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** ZeusCart 4.0 contains a cross-site request forgery vulnerability that allows attackers to perform unauthorized actions on behalf of victims by crafting malicious requests. Attackers can deactivate customer accounts via the admin interface by tricking users into visiting attacker-controlled pages that submit requests to the regstatus endpoint with action=deny parameters.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/06/2026

CVE-2018-25429

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Paroiciel 11.20 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the zProIdPro parameter. Attackers can send GET requests to zpro.php with crafted SQL payloads in the zProIdPro parameter to extract sensitive database information including usernames, databases, and version details.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/06/2026

CVE-2018-25430

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Paroiciel 11.20 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the eGeqIdEquipe parameter. Attackers can send GET requests to the egeq.php endpoint with crafted SQL payloads to extract sensitive database information including version details and other data.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/06/2026

CVE-2018-25431

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** No-Cms 1.0 contains an SQL injection vulnerability in the order_by parameter of the manage_privilege export endpoint that allows authenticated attackers to manipulate database queries. Attackers can submit POST requests to /nocms/main/manage_privilege/index/export with malicious SQL code in the order_by[0] parameter to extract sensitive database information.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/06/2026

CVE-2018-25432

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Arm Whois 3.11 contains a buffer overflow vulnerability that allows local attackers to execute arbitrary code by overwriting the structured exception handler. Attackers can craft a malicious input file with a 672-byte offset to overwrite the nSEH and SEH pointers, enabling code execution through exception handler hijacking.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/06/2026

CVE-2018-25433

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Joomla Component JE Photo Gallery 1.1 contains an SQL injection vulnerability that allows unauthenticated attackers to extract database information by injecting malicious SQL code through the categoryid parameter. Attackers can send GET requests to index.php with crafted categoryid values in the com_jephotogallery component to execute arbitrary SQL queries and retrieve sensitive data like usernames and password hashes.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/06/2026

CVE-2018-25434

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** WP AutoSuggest 0.24 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the wpas_keys parameter. Attackers can send GET requests to autosuggest.php with crafted wpas_keys values to extract sensitive database information from WordPress posts and other tables.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/06/2026

CVE-2018-25428

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Paroiciel 11.20 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the tRecIdListe parameter. Attackers can send GET requests to the trec.php endpoint with crafted SQL payloads to extract database information including table and column names.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/06/2026

CVE-2018-25427

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Arm Whois 3.11 contains a stack-based buffer overflow vulnerability that allows remote attackers to execute arbitrary code by supplying oversized input to the IP address or domain field. Attackers can craft malicious input exceeding 658 bytes with shellcode to overwrite the structured exception handler and gain command execution when the application processes the input.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
17/06/2026

CVE-2026-49433

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** The DeepAI endpoint 'https://api.deepai.org/change_user_email' accepts POST requests without any CSRF protection. If an attacker can trick a logged-in user into clicking a malicious link, the attacker can change the user's email address and take over their account. Fixed on 2026-05-20.
Gravedad CVSS v4.0: BAJA
Última modificación:
02/06/2026

CVE-2026-49140

Fecha de publicación:
01/06/2026
Idioma:
Inglés
*** Pendiente de traducción *** Nanobot prior to version 0.2.1 contains a denial of service vulnerability in the Matrix channel media download handler that allows authenticated room members to exhaust process memory and bandwidth by sending media events with missing or invalid size metadata. Attackers can send multiple concurrent Matrix media events with omitted or invalid declared sizes to trigger simultaneous large media downloads that fully materialize response bodies before post-download rejection, consuming process resources until service degradation occurs.
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/07/2026