Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Swissphone DiCal-RED 4009 (CVE-2024-36443)
Fecha de publicación:
22/08/2024
Idioma:
Español
Los dispositivos Swissphone DiCal-RED 4009 permiten a un atacante remoto obtener acceso de lectura a casi todo el sistema de archivos a través de FTP anónimo.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/08/2024

Vulnerabilidad en VeronaLabs WP SMS (CVE-2024-43331)
Fecha de publicación:
22/08/2024
Idioma:
Español
Vulnerabilidad de autorización faltante en VeronaLabs WP SMS. Este problema afecta a WP SMS: desde n/a hasta 6.9.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2025

Vulnerabilidad en ser Private Files – WordPress File Sharing Plugin para WordPress (CVE-2024-7848)
Fecha de publicación:
22/08/2024
Idioma:
Español
El complemento User Private Files – WordPress File Sharing Plugin para WordPress es vulnerable a la referencia directa a objetos inseguros en todas las versiones hasta la 2.1.0 incluida a través de 'dpk_upvf_update_doc' debido a la falta de validación en la clave controlada por el usuario 'docid'. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, obtengan acceso a los archivos privados de otros usuarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2024

Vulnerabilidad en IBM OpenPages con Watson (CVE-2024-35151)
Fecha de publicación:
22/08/2024
Idioma:
Español
IBM OpenPages con Watson 8.3 y 9.0 podría permitir a los usuarios autenticados acceder a información confidencial a través de controles de autorización inadecuados en las API.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2024

Vulnerabilidad en IBM Sterling Connect:Direct Web Services (CVE-2024-39744)
Fecha de publicación:
22/08/2024
Idioma:
Español
IBM Sterling Connect:Direct Web Services 6.0, 6.1, 6.2 y 6.3 es vulnerable a cross-site request forgery, lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas por un usuario en el que confía el sitio web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2024

Vulnerabilidad en IBM Sterling Connect:Direct Web Services (CVE-2024-39745)
Fecha de publicación:
22/08/2024
Idioma:
Español
IBM Sterling Connect:Direct Web Services 6.0, 6.1, 6.2 y 6.3 utiliza algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/08/2024

Vulnerabilidad en IBM Sterling Connect:Direct Web Services (CVE-2024-39746)
Fecha de publicación:
22/08/2024
Idioma:
Español
IBM Sterling Connect:Direct Web Services versiones 6.0, 6.1, 6.2 y 6.3 podrían permitir que un atacante remoto obtenga información confidencial, causada por no habilitar correctamente HTTP Strict Transport Security. Un atacante podría aprovechar esta vulnerabilidad para obtener información confidencial utilizando técnicas de intermediario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/09/2025

Vulnerabilidad en Responsive Lightbox & Gallery para WordPress (CVE-2024-6870)
Fecha de publicación:
22/08/2024
Idioma:
Español
El complemento Responsive Lightbox & Gallery para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la carga de archivos en todas las versiones hasta la 2.4.7 incluida debido a una desinfección de entrada insuficiente y un escape de salida que afecta el endpoint rl_upload_image AJAX. Esto hace posible que atacantes autenticados, con acceso de nivel de autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo 3gp2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/09/2024

Vulnerabilidad en Orbit Fox de ThemeIsle para WordPress (CVE-2024-7778)
Fecha de publicación:
22/08/2024
Idioma:
Español
El complemento Orbit Fox de ThemeIsle para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de cargas de archivos SVG en todas las versiones hasta la 2.10.36 incluida debido a una desinfección de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2024

Vulnerabilidad en Mage AI (CVE-2024-8072)
Fecha de publicación:
22/08/2024
Idioma:
Español
Mage AI permite a atacantes remotos no autenticados filtrar el historial de comandos del servidor terminal de usuarios arbitrarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/10/2025

Vulnerabilidad en Mattermost (CVE-2024-40886)
Fecha de publicación:
22/08/2024
Idioma:
Español
Las versiones de Mattermost 9.9.x <= 9.9.1, 9.5.x <= 9.5.7, 9.10.x <= 9.10.0, 9.8.x <= 9.8.2 no desinfectan las entradas del usuario en la interfaz que se utilizan para la redirección lo que permite path traversal del lado del cliente con un solo clic que conduce a CSRF en la página Administración de usuarios de la consola del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/08/2024

Vulnerabilidad en Mattermost (CVE-2024-42411)
Fecha de publicación:
22/08/2024
Idioma:
Español
Las versiones de Mattermost 9.9.x <= 9.9.1, 9.5.x <= 9.5.7, 9.10.x <= 9.10.0, 9.8.x <= 9.8.2 no pueden restringir la entrada en POST /api/v4/users lo que permite a un usuario manipular la fecha de creación en POST /api/v4/users engañando al administrador haciéndole creer que su cuenta es mucho más antigua.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2024
Suscribirse a Vulnerabilidades