Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en MonoCMS (CVE-2024-10928)
Fecha de publicación:
06/11/2024
Idioma:
Español
Se ha detectado una vulnerabilidad en MonoCMS hasta 20240528. Se ha declarado como problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /monofiles/opensaved.php del componente Posts Page. La manipulación del argumento filtcategory/filtstatus provoca cross-site scripting. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/11/2024

Vulnerabilidad en Portabilis i-Educar 2.8.0 (CVE-2024-48325)
Fecha de publicación:
06/11/2024
Idioma:
Español
Portabilis i-Educar 2.8.0 es vulnerable a la inyección SQL en la función "getDocuments" de la clase "InstituicaoDocumentacaoController". El parámetro "instituicao_id" en "/module/Api/InstituicaoDocumentacao?oper=get&resource=getDocuments&instituicao_id" no está correctamente desinfectado, lo que permite que un atacante remoto no autenticado inyecte comandos SQL maliciosos.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/06/2025

Vulnerabilidad en Tenda O3 v.1.0.0.5 (CVE-2024-51409)
Fecha de publicación:
06/11/2024
Idioma:
Español
La vulnerabilidad de desbordamiento de búfer en Tenda O3 v.1.0.0.5 permite a un atacante remoto provocar una denegación de servicio a través de un paquete de red en un formato fijo a un enrutador que ejecuta la versión correspondiente del firmware.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en MonoCMS (CVE-2024-10927)
Fecha de publicación:
06/11/2024
Idioma:
Español
Se ha detectado una vulnerabilidad en MonoCMS hasta 20240528. Se ha clasificado como problemática. Se trata de una función desconocida del archivo /monofiles/account.php del componente Account Information Page. La manipulación del argumento userid provoca cross-site scripting. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor con antelación sobre esta revelación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/11/2024

Vulnerabilidad en Symphony process (CVE-2024-51736)
Fecha de publicación:
06/11/2024
Idioma:
Español
Symphony process es un módulo para el framework PHP Symphony que ejecuta comandos en subprocesos. En Windows, cuando un archivo ejecutable llamado `cmd.exe` se encuentra en el directorio de trabajo actual, la clase `Process` lo llamará al preparar los argumentos del comando, lo que puede provocar un secuestro. Este problema se ha solucionado en las versiones de lanzamiento 5.4.46, 6.4.14 y 7.1.7. Se recomienda a los usuarios que actualicen la versión. No existen workarounds para esta vulnerabilidad.
Gravedad: Pendiente de análisis
Última modificación:
04/09/2025

Vulnerabilidad en symfony/http-foundation (CVE-2024-50345)
Fecha de publicación:
06/11/2024
Idioma:
Español
symfony/http-foundation es un módulo para el framework PHP Symphony que define una capa orientada a objetos para la especificación HTTP. La clase `Request` no analiza las URI con caracteres especiales de la misma forma que lo hacen los navegadores. Como resultado, un atacante puede engañar a un validador que se basa en la clase `Request` para redirigir a los usuarios a otro dominio. Los métodos `Request::create` ahora afirman que la URI no contiene caracteres no válidos según lo definido por https://url.spec.whatwg.org/. Este problema ha sido corregido en las versiones 5.4.46, 6.4.14 y 7.1.7. Se recomienda a los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025

Vulnerabilidad en symfony/validator (CVE-2024-50343)
Fecha de publicación:
06/11/2024
Idioma:
Español
symfony/validator es un módulo para el framework PHP Symphony que proporciona herramientas para validar valores. Es posible engañar a un `Validator` configurado con una expresión regular utilizando los metacaracteres `$`, con una entrada que termina en `\n`. Symfony a partir de las versiones 5.4.43, 6.4.11 y 7.1.4 ahora utiliza el modificador de expresión regular `D` para que coincida con toda la entrada. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en Firefox (CVE-2024-10941)
Fecha de publicación:
06/11/2024
Idioma:
Español
Un sitio web malicioso podría haber incluido un iframe con una URL mal formada, lo que provocó un bloqueo del navegador que no se podía explotar. Esta vulnerabilidad afecta a Firefox anterior a la versión 126.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2025

Vulnerabilidad en symfony/http-client (CVE-2024-50342)
Fecha de publicación:
06/11/2024
Idioma:
Español
symfony/http-client es un módulo para el framework PHP Symphony que proporciona métodos potentes para obtener recursos HTTP de forma sincrónica o asincrónica. Al utilizar `NoPrivateNetworkHttpClient`, todavía se filtra cierta información interna durante la resolución del host, lo que lleva a una posible enumeración de IP/puerto. A partir de las versiones 5.4.46, 6.4.14 y 7.1.7, `NoPrivateNetworkHttpClient` ahora filtra las IP bloqueadas antes para evitar dichas filtraciones. Se recomienda a todos los usuarios que actualicen la versión. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
12/01/2026

Vulnerabilidad en symfony/runtime (CVE-2024-50340)
Fecha de publicación:
06/11/2024
Idioma:
Español
symfony/runtime es un módulo para el framework PHP Symphony que permite desacoplar las aplicaciones PHP del estado global. Cuando la directiva php `register_argv_argc` está establecida en `on` y los usuarios llaman a cualquier URL con una cadena de consulta especialmente manipulada, pueden cambiar el entorno o el modo de depuración utilizado por el núcleo al procesar la solicitud. A partir de las versiones 5.4.46, 6.4.14 y 7.1.7, `SymfonyRuntime` ahora ignora los valores `argv` para los entornos de ejecución PHP que no sean SAPI. Se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en symfony/security-bundle (CVE-2024-50341)
Fecha de publicación:
06/11/2024
Idioma:
Español
symfony/security-bundle es un módulo para el framework PHP Symphony que proporciona una integración estrecha del componente Security en el framework full-stack Symfony. El `user_checker` personalizado definido en un firewall no se llama cuando se inicia sesión mediante programación con el método `Security::login`, lo que provoca inicios de sesión no deseados. A partir de las versiones 6.4.10, 7.0.10 y 7.1.3, el método `Security::login` ahora se asegura de llamar al `user_checker` configurado. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
15/04/2026

Vulnerabilidad en IBPhoenix ibWebAdmin (CVE-2024-10926)
Fecha de publicación:
06/11/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en IBPhoenix ibWebAdmin hasta la versión 1.0.2 y se ha clasificado como problemática. Este problema afecta a algunos procesos desconocidos del archivo /toggle_fold_panel.php del componente Tabelas Section. La manipulación del argumento p conduce a cross-site scripting. El ataque puede iniciarse de forma remota. La vulnerabilidad se ha hecho pública y puede utilizarse. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades