Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Mage AI (CVE-2024-8072)
Fecha de publicación:
22/08/2024
Idioma:
Español
Mage AI permite a atacantes remotos no autenticados filtrar el historial de comandos del servidor terminal de usuarios arbitrarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/10/2025

Vulnerabilidad en Mattermost (CVE-2024-40886)
Fecha de publicación:
22/08/2024
Idioma:
Español
Las versiones de Mattermost 9.9.x <= 9.9.1, 9.5.x <= 9.5.7, 9.10.x <= 9.10.0, 9.8.x <= 9.8.2 no desinfectan las entradas del usuario en la interfaz que se utilizan para la redirección lo que permite path traversal del lado del cliente con un solo clic que conduce a CSRF en la página Administración de usuarios de la consola del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/08/2024

Vulnerabilidad en Mattermost (CVE-2024-42411)
Fecha de publicación:
22/08/2024
Idioma:
Español
Las versiones de Mattermost 9.9.x <= 9.9.1, 9.5.x <= 9.5.7, 9.10.x <= 9.10.0, 9.8.x <= 9.8.2 no pueden restringir la entrada en POST /api/v4/users lo que permite a un usuario manipular la fecha de creación en POST /api/v4/users engañando al administrador haciéndole creer que su cuenta es mucho más antigua.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2024

Vulnerabilidad en Mattermost (CVE-2024-43813)
Fecha de publicación:
22/08/2024
Idioma:
Español
Las versiones 9.5.x <= 9.5.7, 9.10.x <= 9.10.0 de Mattermost no aplican controles de acceso adecuados que permiten a cualquier usuario autenticado, incluidos los invitados, marcar cualquier canal dentro de cualquier equipo como leído para cualquier usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2024

Vulnerabilidad en Mattermost (CVE-2024-8071)
Fecha de publicación:
22/08/2024
Idioma:
Español
Las versiones de Mattermost 9.9.x <= 9.9.1, 9.5.x <= 9.5.7, 9.10.x <= 9.10.0 y 9.8.x <= 9.8.2 no restringen qué roles pueden promover a un usuario como administrador del sistema y cuáles permite que una función del sistema con acceso de edición a la sección de permisos de la consola del sistema actualice su función (por ejemplo, miembro) para incluir el permiso `manage_system`, convirtiéndose efectivamente en un administrador del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/08/2024

Vulnerabilidad en Mattermost (CVE-2024-32939)
Fecha de publicación:
22/08/2024
Idioma:
Español
Las versiones de Mattermost 9.9.x <= 9.9.1, 9.5.x <= 9.5.7, 9.10.x <= 9.10.0, 9.8.x <= 9.8.2, cuando los canales compartidos están habilitados, no se pueden redactar las direcciones de correo electrónico originales de los usuarios remotos almacenadas en las propiedades del usuario cuando las direcciones de correo electrónico están configuradas para no ser visibles en el servidor local.
Gravedad CVSS v3.1: BAJA
Última modificación:
23/08/2024

Vulnerabilidad en Mattermost (CVE-2024-39810)
Fecha de publicación:
22/08/2024
Idioma:
Español
Las versiones 9.5.x <= 9.5.7 y 9.10.x <= 9.10.0 de Mattermost no limitan el tiempo ni el tamaño del archivo de ruta de CA en la configuración de ElasticSearch, lo que permite que una función del sistema con acceso a la consola del sistema Elasticsearch agregue cualquier archivo. como un campo de ruta de CA, como /dev/zero y, después de probar la conexión, provocar que la aplicación falle.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2024

Vulnerabilidad en Mattermost (CVE-2024-39836)
Fecha de publicación:
22/08/2024
Idioma:
Español
Las versiones de Mattermost 9.9.x <= 9.9.1, 9.5.x <= 9.5.7, 9.10.x <= 9.10.0 y 9.8.x <= 9.8.2 no garantizan que los usuarios remotos/sintéticos no puedan crear sesiones ni restablecer contraseñas, que permite que las direcciones de correo electrónico eliminadas, creadas por canales compartidos, se utilicen para recibir notificaciones por correo electrónico y restablecer contraseñas, cuando sean correos electrónicos válidos y funcionales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2024

Vulnerabilidad en UCI IDOL 2 (CVE-2024-45168)
Fecha de publicación:
22/08/2024
Idioma:
Español
Se descubrió un problema en UCI IDOL 2 (también conocido como uciIDOL o IDOL2) hasta 2.12. Los datos se transfieren a través de un socket sin formato sin ningún mecanismo de autenticación. Por tanto, los endpoints de comunicación no son verificables.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/09/2025

Vulnerabilidad en UCI IDOL 2 (CVE-2024-45169)
Fecha de publicación:
22/08/2024
Idioma:
Español
Se descubrió un problema en UCI IDOL 2 (también conocido como uciIDOL o IDOL2) hasta 2.12. Debido a una validación de entrada inadecuada, una deserialización inadecuada y una restricción inadecuada de las operaciones dentro de los límites de un búfer de memoria, IDOL2 es vulnerable a ataques de denegación de servicio (DoS) y posiblemente a la ejecución remota de código a través de la secuencia de bytes \xB0\x00\x3c. .
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/09/2025

Vulnerabilidad en UCI IDOL 2 (CVE-2024-45167)
Fecha de publicación:
22/08/2024
Idioma:
Español
Se descubrió un problema en UCI IDOL 2 (también conocido como uciIDOL o IDOL2) hasta 2.12. Debido a una validación de entrada inadecuada, una deserialización inadecuada y una restricción inadecuada de operaciones dentro de los límites de un búfer de memoria, IDOL2 es vulnerable a ataques de denegación de servicio (DoS) y posiblemente a la ejecución remota de código. Un determinado documento XmlMessage provoca un consumo de CPU del 100 %.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/09/2025

Vulnerabilidad en UCI IDOL 2 (CVE-2024-45166)
Fecha de publicación:
22/08/2024
Idioma:
Español
Se descubrió un problema en UCI IDOL 2 (también conocido como uciIDOL o IDOL2) hasta 2.12. Debido a una validación de entrada inadecuada, una deserialización inadecuada y una restricción inadecuada de operaciones dentro de los límites de un búfer de memoria, IDOL2 es vulnerable a ataques de denegación de servicio (DoS) y posiblemente a la ejecución remota de código. Hay una infracción de acceso y se sobrescribe el EIP después de cinco inicios de sesión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/09/2025
Suscribirse a Vulnerabilidades