Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Samsung Exynos (CVE-2024-39343)
Fecha de publicación:
02/12/2024
Idioma:
Español
Se descubrió un problema en los procesadores móviles y portátiles Samsung Exynos 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, módem 5123 y módem 5300. El software de banda base no verifica correctamente la longitud especificada por el módulo MM (gestión de movilidad), lo que puede provocar una denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/07/2025

Vulnerabilidad en Android (CVE-2018-9381)
Fecha de publicación:
02/12/2024
Idioma:
Español
En gatts_process_read_by_type_req de gatt_sr.c, existe una posible revelación de información debido a datos no inicializados. Esto podría llevar a una revelación de información remota sin necesidad de privilegios de ejecución adicionales. No se necesita interacción del usuario para la explotación.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2024

Vulnerabilidad en Android (CVE-2018-9380)
Fecha de publicación:
02/12/2024
Idioma:
Español
En l2c_lcc_proc_pdu de l2c_fcr.cc, hay una posible escritura fuera de límites debido a una validación de entrada inadecuada. Esto podría llevar a una escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales. Se necesita interacción del usuario para la explotación.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2024

Vulnerabilidad en ServiceNow (CVE-2024-5890)
Fecha de publicación:
02/12/2024
Idioma:
Español
ServiceNow ha solucionado una vulnerabilidad de inyección de HTML que se identificó en la Plataforma Now. Esta vulnerabilidad podría permitir que un usuario no autenticado modifique una página web o redirija a los usuarios a otro sitio web. ServiceNow publicó actualizaciones para los clientes que solucionaron esta vulnerabilidad. Si aún no lo ha hecho, le recomendamos que aplique los parches de seguridad pertinentes a sus instancias lo antes posible.
Gravedad CVSS v4.0: MEDIA
Última modificación:
02/12/2024

Vulnerabilidad en ZZCMS 2023 (CVE-2024-52724)
Fecha de publicación:
02/12/2024
Idioma:
Español
Se descubrió que ZZCMS 2023 contiene una vulnerabilidad de inyección SQL en /q/show.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/04/2025

Vulnerabilidad en Ever Traduora (CVE-2024-53484)
Fecha de publicación:
02/12/2024
Idioma:
Español
Ever Traduora 0.20.0 y versiones anteriores son vulnerables a la escalada de privilegios debido al uso de una clave de firma JWT codificada.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2024

Vulnerabilidad en LibrePhotos (CVE-2024-53617)
Fecha de publicación:
02/12/2024
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting en LibrePhotos antes de el commit 32237 permite a los atacantes tomar control de cualquier cuenta mediante la carga de un archivo HTML en nombre del usuario administrador usando IDOR en la carga del archivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/12/2024

Vulnerabilidad en freepbx v17.0.19.17 (CVE-2024-53564)
Fecha de publicación:
02/12/2024
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitrarios autenticados en el componente /module_admin/upload.php de freepbx v17.0.19.17 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo manipulado específicamente.
Gravedad CVSS v3.1: BAJA
Última modificación:
23/09/2025

Vulnerabilidad en Sangoma Asterisk (CVE-2024-53566)
Fecha de publicación:
02/12/2024
Idioma:
Español
Un problema en la función action_listcategories() de Sangoma Asterisk v22/22.0.0/22.0.0-rc1/22.0.0-rc2/22.0.0-pre1 permite a los atacantes ejecutar un path traversal.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2025

Vulnerabilidad en AsyncHttpClient (AHC) (CVE-2024-53990)
Fecha de publicación:
02/12/2024
Idioma:
Español
La librería AsyncHttpClient (AHC) permite que las aplicaciones Java ejecuten fácilmente solicitudes HTTP y procesen de forma asincrónica las respuestas HTTP. Al realizar una solicitud HTTP, el CookieStore (también conocido como contenedor de cookies) habilitado automáticamente y autoadministrado reemplazará silenciosamente las Cookies definidas explícitamente por cualquier cookie que tenga el mismo nombre del contenedor de cookies. En el caso de los servicios que funcionan con varios usuarios, esto puede provocar que la Cookie de un usuario se utilice para las solicitudes de otro usuario.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/12/2024

Vulnerabilidad en unzip-bot (CVE-2024-53992)
Fecha de publicación:
02/12/2024
Idioma:
Español
unzip-bot es un bot de Telegram que extrae distintos tipos de archivos. Los usuarios podrían aprovechar las entradas no desinfectadas para inyectar comandos maliciosos que se ejecutan a través de subprocess.Popen con shell=True. Los atacantes pueden aprovechar esta vulnerabilidad utilizando un nombre de archivo, una contraseña o un nombre de video manipulados. Esta vulnerabilidad se corrigió en la versión 7.0.3a.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/12/2024

Vulnerabilidad en OVRC de Snap One (CVE-2024-50381)
Fecha de publicación:
02/12/2024
Idioma:
Español
Existe una vulnerabilidad en la nube OVRC de Snap One en la que un atacante puede hacerse pasar por un dispositivo Hub y enviar solicitudes para reclamar y cancelar la reclamación de dispositivos. El atacante solo necesita proporcionar la dirección MAC del dispositivo en cuestión y puede realizar una solicitud para cancelar la reclamación de su conexión original y realizar una solicitud para reclamarlo.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/12/2024
Suscribirse a Vulnerabilidades