Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en parisneo/lollms (CVE-2024-5824)
Fecha de publicación:
27/06/2024
Idioma:
Español
Una vulnerabilidad de path traversal en el endpoint `/set_personality_config` de parisneo/lollms versión 9.4.0 permite a un atacante sobrescribir el archivo `configs/config.yaml`. Esto puede llevar a la ejecución remota de código cambiando las propiedades de configuración del servidor, como `force_accept_remote_access` y `turn_on_code_validation`.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/06/2024

Vulnerabilidad en vanna-ai/vanna (CVE-2024-5826)
Fecha de publicación:
27/06/2024
Idioma:
Español
En la última versión de vanna-ai/vanna, la función `vanna.ask` es vulnerable a la ejecución remota de código debido a la inyección rápida. La causa principal es la falta de una zona de pruebas al ejecutar código generado por LLM, lo que permite a un atacante manipular el código ejecutado por la función `exec` en `src/vanna/base/base.py`. Un atacante puede aprovechar esta vulnerabilidad para lograr la ejecución remota de código en el servidor backend de la aplicación, obteniendo potencialmente el control total del servidor.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/06/2024

Vulnerabilidad en stangirard/quivr (CVE-2024-5885)
Fecha de publicación:
27/06/2024
Idioma:
Español
La versión 0.0.236 de stangirard/quivr contiene una vulnerabilidad de Server-Side Request Forgery (SSRF). La aplicación no proporciona controles suficientes al rastrear un sitio web, lo que permite a un atacante acceder a aplicaciones en la red local. Esta vulnerabilidad podría permitir que un usuario malintencionado obtenga acceso a servidores internos, al endpoint de metadatos de AWS y capture datos de Supabase.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/08/2024

Vulnerabilidad en parisneo/lollms-webui (CVE-2024-5933)
Fecha de publicación:
27/06/2024
Idioma:
Español
Existe una vulnerabilidad de cross site scripting (XSS) en la funcionalidad de chat de parisneo/lollms-webui en la última versión. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos a través de mensajes de chat, que luego se ejecutan en el contexto del navegador del usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2025

Vulnerabilidad en BerriAI/litellm (CVE-2024-5751)
Fecha de publicación:
27/06/2024
Idioma:
Español
BerriAI/litellm versión v1.35.8 contiene una vulnerabilidad donde un atacante puede lograr la ejecución remota de código. La vulnerabilidad existe en la función `add_deployment`, que decodifica y descifra variables de entorno de base64 y las asigna a `os.environ`. Un atacante puede aprovechar esto enviando una carga maliciosa al endpoint `/config/update`, que luego es procesada y ejecutada por el servidor cuando se activa la función `get_secret`. Esto requiere que el servidor utilice Google KMS y una base de datos para almacenar un modelo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/09/2024

Vulnerabilidad en lunary-ai/lunary (CVE-2024-5755)
Fecha de publicación:
27/06/2024
Idioma:
Español
En las versiones lunary-ai/lunary <=v1.2.11, un atacante puede eludir la validación del correo electrónico utilizando un carácter de punto ('.') en la dirección de correo electrónico. Esto permite la creación de varias cuentas con esencialmente la misma dirección de correo electrónico (por ejemplo, 'attacker123@gmail.com' y 'attacker.123@gmail.com'), lo que genera una sincronización incorrecta y posibles problemas de seguridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2024

Vulnerabilidad en stitionai/devika (CVE-2024-5820)
Fecha de publicación:
27/06/2024
Idioma:
Español
Autorización faltante en stitionai/devika
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en gaizhenbiao/ChuanhuChatGPT <= ChuanhuChatGPT-20240410-git.zip (CVE-2024-5822)
Fecha de publicación:
27/06/2024
Idioma:
Español
Existe una vulnerabilidad de Server-Side Request Forgery (SSRF) en la interfaz de procesamiento de carga de las versiones gaizhenbiao/ChuanhuChatGPT <= ChuanhuChatGPT-20240410-git.zip. Esta vulnerabilidad permite a los atacantes enviar solicitudes manipuladas desde el servidor vulnerable a recursos internos o externos, potencialmente eludiendo los controles de seguridad y accediendo a datos confidenciales.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2025

Vulnerabilidad en Spotfire Spotfire Enterprise Runtime para R - Server Edition, Spotfire Spotfire Statistics Services, Spotfire Spotfire Analyst, Spotfire Spotfire Desktop, Spotfire Spotfire Server (CVE-2024-3331)
Fecha de publicación:
27/06/2024
Idioma:
Español
Vulnerabilidad en Spotfire Spotfire Enterprise Runtime para R - Server Edition, Spotfire Spotfire Statistics Services, Spotfire Spotfire Analyst, Spotfire Spotfire Desktop, Spotfire Spotfire Server permite El impacto de esta vulnerabilidad depende de los privilegios del usuario que ejecuta el software afectado. Este problema afecta Spotfire Enterprise Runtime para R - Server Edition: desde 1.12.7 hasta 1.20.0; Servicios de estadísticas de Spotfire: de 12.0.7 a 12.3.1, de 14.0.0 a 14.3.0; Spotfire Analyst: del 12.0.9 al 12.5.0, del 14.0.0 al 14.3.0; Spotfire Desktop: de 14.0 a 14.3.0; Servidor Spotfire: desde 12.0.10 hasta 12.5.0, desde 14.0.0 hasta 14.3.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2024

Vulnerabilidad en Arista (CVE-2024-4578)
Fecha de publicación:
27/06/2024
Idioma:
Español
Este aviso describe un problema que afecta los puntos de acceso inalámbricos de Arista. Cualquier entidad con la capacidad de autenticarse a través de SSH en un AP afectado como usuario "config" puede provocar una escalada de privilegios generando un shell bash. La sesión SSH CLI no requiere permisos elevados para aprovechar esta vulnerabilidad, pero se requiere la contraseña de configuración para establecer la sesión. El shell generado puede obtener privilegios de root.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/06/2024

Vulnerabilidad en berriai/litellm (CVE-2024-5710)
Fecha de publicación:
27/06/2024
Idioma:
Español
berriai/litellm versión 1.34.34 es vulnerable a un control de acceso inadecuado en su funcionalidad de gestión de equipos. Esta vulnerabilidad permite a los atacantes realizar acciones no autorizadas, como crear, actualizar, ver, eliminar, bloquear y desbloquear cualquier equipo, así como agregar o eliminar cualquier miembro de cualquier equipo. La vulnerabilidad se debe a controles de acceso insuficientes en varios endpoints de administración de equipos, lo que permite a los atacantes explotar estas funcionalidades sin la autorización adecuada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025

Vulnerabilidad en lunary-ai/lunary (CVE-2024-5714)
Fecha de publicación:
27/06/2024
Idioma:
Español
En lunary-ai/lunary versión 1.2.4, una vulnerabilidad de control de acceso inadecuado permite a los miembros con permisos de administración de equipos manipular identificadores de proyectos en solicitudes, permitiéndoles invitar a usuarios a proyectos en otras organizaciones, cambiar miembros a proyectos en otras organizaciones con privilegios escalados. y cambiar miembros de otras organizaciones a proyectos propios o de otros, también con privilegios aumentados. Esta vulnerabilidad se debe a que el backend no valida los identificadores de proyecto con el ID de la organización del usuario actual y los proyectos que le pertenecen, así como a una mala configuración en la denominación de atributos ("org_id" debe ser "orgId") que impide la validación adecuada de la organización del usuario. Como resultado, los atacantes pueden provocar inconsistencias en la plataforma para los usuarios y organizaciones afectados, incluida una escalada de privilegios no autorizada. El problema está presente en los endpoints de la API backend para la invitación y modificación de usuarios, específicamente en el manejo de ID de proyecto en solicitudes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025
Suscribirse a Vulnerabilidades