Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Ciprian Popescu Block for Font Awesome (CVE-2023-49751)
Fecha de publicación:
17/12/2023
Idioma:
Español
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Ciprian Popescu Block for Font Awesome. Este problema afecta a Block for Font Awesome: desde n/a hasta 1.4.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en Webbjocke Simple Wp Sitemap (CVE-2023-24380)
Fecha de publicación:
17/12/2023
Idioma:
Español
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Webbjocke Simple Wp Sitemap. Este problema afecta a Simple Wp Sitemap: desde n/a hasta 1.2.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK) (CVE-2023-6895)
Fecha de publicación:
17/12/2023
Idioma:
Español
Se encontró una vulnerabilidad en Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK). Ha sido declarada crítica. Esta vulnerabilidad afecta a código desconocido del archivo /php/ping.php. La manipulación del argumento jsondata[ip] con la entrada netstat -ano conduce a la inyección del comando os. El exploit ha sido divulgado al público y puede utilizarse. VDB-248254 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK) (CVE-2023-6894)
Fecha de publicación:
17/12/2023
Idioma:
Español
Se encontró una vulnerabilidad en Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK). Ha sido clasificada como problemática. Una parte desconocida del archivo access/html/system.html del componente Log File Handler afecta a una parte desconocida. La manipulación conduce a la divulgación de información. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-248253. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK) (CVE-2023-6893)
Fecha de publicación:
17/12/2023
Idioma:
Español
Una vulnerabilidad fue encontrada en Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK) y clasificada como problemática. Una función desconocida del archivo /php/exportrecord.php es afectada por esta vulnerabilidad. La manipulación del argumento downname con la entrada C:\ICPAS\Wnmp\WWW\php\conversion.php conduce a un path traversal. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-248252. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/05/2024

Vulnerabilidad en PeaZip 9.4.0 (CVE-2023-6891)
Fecha de publicación:
17/12/2023
Idioma:
Español
Una vulnerabilidad fue encontrada en PeaZip 9.4.0 y clasificada como problemática. Una función desconocida en la librería dragdropfilesdll.dll del componente Library Handler es afectada por esta vulnerabilidad. La manipulación conduce a una ruta de búsqueda incontrolada. Un ataque debe abordarse localmente. La actualización a la versión 9.6.0 puede solucionar este problema. Se recomienda actualizar el componente afectado. El identificador asociado de esta vulnerabilidad es VDB-248251. NOTA: Se contactó al proveedor temprano, confirmó la existencia de la falla e inmediatamente trabajó en una versión parcheada.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/05/2024

Vulnerabilidad en MicroHttpServer (CVE-2023-50965)
Fecha de publicación:
17/12/2023
Idioma:
Español
En MicroHttpServer (también conocido como Micro HTTP Server) hasta 4398570, _ReadStaticFiles en lib/middleware.c permite un desbordamiento de búfer en la región stack de la memoria y una ejecución de código potencialmente remota a través de un URI largo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/12/2023

Vulnerabilidad en xnx3 wangmarket 6.1 (CVE-2023-6886)
Fecha de publicación:
17/12/2023
Idioma:
Español
Se encontró una vulnerabilidad en xnx3 wangmarket 6.1. Ha sido calificada como crítica. Una función desconocida del componente Role Management Page es afectada por este problema. La manipulación conduce a la inyección de código. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-248246 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en saysky ForestBlog (CVE-2023-6887)
Fecha de publicación:
17/12/2023
Idioma:
Español
Una vulnerabilidad ha sido encontrada en saysky ForestBlog hasta 20220630 y clasificada como crítica. Una parte desconocida del archivo /admin/upload/img del componente Image Upload Handler ha sido encontrada y clasificada como crítica. La manipulación del argumento nombre de archivo conduce a una carga sin restricciones. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-248247.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en PHZ76 RtspServer 1.0.0 (CVE-2023-6888)
Fecha de publicación:
17/12/2023
Idioma:
Español
Una vulnerabilidad fue encontrada en PHZ76 RtspServer 1.0.0 y clasificada como crítica. Esta vulnerabilidad afecta a la función ParseRequestLine del archivo RtspMesaage.cpp. La manipulación conduce a un desbordamiento de búfer en la región stack de la memoria. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-248248. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en Tongda OA 2017 (CVE-2023-6885)
Fecha de publicación:
16/12/2023
Idioma:
Español
Se encontró una vulnerabilidad en Tongda OA 2017 hasta 11.10. Ha sido declarada crítica. Una función desconocida del archivo general/vote/manage/delete.php es afectada por esta vulnerabilidad. La manipulación del argumento DELETE_STR conduce a la inyección SQL. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-248245. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en UnrealIRCd (CVE-2023-50784)
Fecha de publicación:
16/12/2023
Idioma:
Español
Un desbordamiento de búfer en websockets en UnrealIRCd 6.1.0 hasta 6.1.3 anterior a 6.1.4 permite que un atacante remoto no autenticado bloquee el servidor enviando un paquete de gran tamaño (si un puerto websocket está abierto). La ejecución remota de código podría ser posible en algunas plataformas antiguas y poco comunes.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025
Suscribirse a Vulnerabilidades