Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en D-Link DIR-820L 1.05B03 (CVE-2024-48150)
Fecha de publicación:
14/10/2024
Idioma:
Español
D-Link DIR-820L 1.05B03 tiene una vulnerabilidad de desbordamiento de pila en la función sub_451208.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/05/2025

Vulnerabilidad en DrayTek Vigor3900 1.5.1.3 (CVE-2024-48153)
Fecha de publicación:
14/10/2024
Idioma:
Español
DrayTek Vigor3900 1.5.1.3 permite a los atacantes inyectar comandos maliciosos en mainfunction.cgi y ejecutar comandos arbitrarios llamando a la función get_subconfig.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/04/2025

Vulnerabilidad en Jetty PushSessionCacheFilter (CVE-2024-6762)
Fecha de publicación:
14/10/2024
Idioma:
Español
Jetty PushSessionCacheFilter puede ser explotado por usuarios no autenticados para lanzar ataques DoS remotos agotando la memoria del servidor.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025

Vulnerabilidad en Cloudlog 2.6.15 (CVE-2024-48259)
Fecha de publicación:
14/10/2024
Idioma:
Español
Cloudlog 2.6.15 permite la inyección SQL de request_form Oqrs.php a través de station_id o callsign.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/05/2025

CVE-2024-48261
Fecha de publicación:
14/10/2024
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2024-48251. Reason: This candidate is a reservation duplicate of CVE-2024-48251. Notes: All CVE users should reference CVE-2024-48251 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
14/10/2024

Vulnerabilidad en DosFilter de Jetty (CVE-2024-9823)
Fecha de publicación:
14/10/2024
Idioma:
Español
Existe una vulnerabilidad de seguridad en el DosFilter de Jetty que puede ser explotada por usuarios no autorizados para provocar un ataque de denegación de servicio (DoS) remoto en el servidor mediante el DosFilter. Al enviar repetidamente solicitudes manipuladas, los atacantes pueden generar errores OutofMemory y agotar la memoria del servidor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

CVE-2024-40616
Fecha de publicación:
14/10/2024
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
14/10/2024

Vulnerabilidad en Wavelog 1.8.5 (CVE-2024-48249)
Fecha de publicación:
14/10/2024
Idioma:
Español
Wavelog 1.8.5 permite la inyección SQL get_band_confirmed de Gridmap_model.php mediante banda, satélite, propagación o modo.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/05/2025

Vulnerabilidad en Wavelog 1.8.5 (CVE-2024-48251)
Fecha de publicación:
14/10/2024
Idioma:
Español
Wavelog 1.8.5 permite la inyección SQL get_band_confirmed de Activated_gridmap_model.php mediante banda, satélite, propagación o modo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/10/2024

Vulnerabilidad en Wavelog 1.8.5 (CVE-2024-48257)
Fecha de publicación:
14/10/2024
Idioma:
Español
Wavelog 1.8.5 permite la inyección SQL de Oqrs_model.php get_worked_modes station_id.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/10/2024

Vulnerabilidad en Rockwell Automation (CVE-2024-7847)
Fecha de publicación:
14/10/2024
Idioma:
Español
DETALLES DE LA VULNERABILIDAD Rockwell Automation utilizó las últimas versiones del sistema de puntuación CVSS para evaluar las siguientes vulnerabilidades. Sharon Brizinov de Claroty Research - Team82 nos informó sobre las siguientes vulnerabilidades. Una característica de los productos afectados permite a los usuarios preparar un archivo de proyecto con un script VBA integrado y se puede configurar para que se ejecute una vez que se haya abierto el archivo de proyecto sin intervención del usuario. Esta característica se puede utilizar de forma abusiva para engañar a un usuario legítimo para que ejecute código malicioso al abrir un archivo de proyecto RSP/RSS infectado. Si se explota, un actor de amenazas puede realizar una ejecución remota de código. Los dispositivos conectados también pueden verse afectados por la explotación de esta vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/09/2025

Vulnerabilidad en Switzerland Government Common Vulnerability Program (CVE-2024-8602)
Fecha de publicación:
14/10/2024
Idioma:
Español
Cuando se lee el XML de los códigos en el PDF y se analiza utilizando un DocumentBuilder, la configuración predeterminada de DocumentBuilder permite un ataque XXE (XML External Entity). Puede encontrar más información sobre esto en el sitio web del Proyecto de seguridad de aplicaciones abierto a nivel mundial (OWASP). En teoría, un atacante podría aprovechar esto entregando un archivo PDF manipulado al objetivo y, según el entorno, se pueden ejecutar varias acciones. Estas acciones incluyen: * Leer archivos del sistema operativo * Bloquear el hilo que maneja el análisis o hacer que entre en un bucle infinito * Ejecutar solicitudes HTTP * Cargar archivos DTD o XML adicionales * Bajo ciertas condiciones, ejecutar comandos del sistema operativo
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/12/2024
Suscribirse a Vulnerabilidades