Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Helakuru v1.1 (CVE-2024-48605)
Fecha de publicación:
22/10/2024
Idioma:
Español
Un problema en la aplicación de escritorio Helakuru v1.1 permite que un atacante local ejecute código arbitrario a través de la falta de validación adecuada del archivo wow64log.dll.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/10/2024

Vulnerabilidad en Y Soft SAFEQ 6 Build 53 (CVE-2022-23862)
Fecha de publicación:
22/10/2024
Idioma:
Español
Se descubrió un problema de escalada de privilegios locales en Y Soft SAFEQ 6 Build 53. El servicio JMX de SafeQ que se ejecuta en el puerto 9696 es vulnerable a ataques JMX MLet. Debido a que el servicio no aplicaba la autenticación y se ejecutaba bajo el usuario "NT Authority\System", un atacante puede usar la vulnerabilidad para ejecutar código arbitrario y ascender al usuario del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/10/2024

Vulnerabilidad en Y Soft SAFEQ 6 Build 53 (CVE-2022-23861)
Fecha de publicación:
22/10/2024
Idioma:
Español
Se descubrieron múltiples vulnerabilidades de cross-site scripting almacenadas en Y Soft SAFEQ 6 Build 53. Se pueden usar varios campos en la aplicación web YSoft SafeQ para inyectar entradas maliciosas que, debido a la falta de desinfección de salida, dan como resultado la ejecución de código JS arbitrario. Estos campos se pueden aprovechar para realizar ataques XSS a usuarios legítimos que acceden a la interfaz web de SafeQ.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/11/2024

Vulnerabilidad en IBM Concert (CVE-2024-43177)
Fecha de publicación:
22/10/2024
Idioma:
Español
IBM Concert 1.0.0 y 1.0.1 son vulnerables a ataques que se basan en el uso de cookies sin el atributo SameSite.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/10/2024

Vulnerabilidad en Liferay Portal y DXP (CVE-2024-8980)
Fecha de publicación:
22/10/2024
Idioma:
Español
La consola de scripts en Liferay Portal 7.0.0 a 7.4.3.101, y Liferay DXP 2023.Q3.1 a 2023.Q3.4, 7.4 GA a la actualización 92, 7.3 GA a la actualización 35, 7.2 GA a través del fixpack 20, 7.1 GA a través del fixpack 28, 7.0 GA a través del fixpack 102 y 6.2 GA a través del fixpack 173 no protege lo suficiente contra ataques de Cross-Site Request Forgery (CSRF), que permiten a atacantes remotos ejecutar scripts de Groovy arbitrarios a través de una URL manipulada o una vulnerabilidad XSS.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/12/2024

Vulnerabilidad en Liferay Portal y DXP (CVE-2024-38002)
Fecha de publicación:
22/10/2024
Idioma:
Español
El componente workflow en Liferay Portal 7.3.2 a 7.4.3.111, y Liferay DXP 2023.Q4.0 a 2023.Q4.5, 2023.Q3.1 a 2023.Q3.8, 7.4 GA a la actualización 92 y 7.3 GA a la actualización 36 no verifica correctamente los permisos de usuario antes de actualizar una definición de workflow, lo que permite a los usuarios autenticados remotos modificar las definiciones de workflow y ejecutar código arbitrario (RCE) a través de la API sin interfaz gráfica.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/09/2025

Vulnerabilidad en IBM Concert (CVE-2024-43173)
Fecha de publicación:
22/10/2024
Idioma:
Español
IBM Concert 1.0.0 y 1.0.1 son vulnerables a ataques que se basan en el uso de cookies sin el atributo SameSite.
Gravedad CVSS v3.1: BAJA
Última modificación:
25/10/2024

Vulnerabilidad en Liferay Portal y DXP (CVE-2024-26271)
Fecha de publicación:
22/10/2024
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el widget Mi cuenta en Liferay Portal 7.4.3.75 a 7.4.3.111, y Liferay DXP 2023.Q4.0 a 2023.Q4.2, 2023.Q3.1 a 2023.Q3.5, 7.4 actualización 75 a 92 y 7.3 actualización 32 a 36 permite a atacantes remotos (1) cambiar las contraseñas de los usuarios, (2) apagar el servidor, (3) ejecutar código arbitrario en la consola de scripts, (4) y realizar otras acciones administrativas a través del parámetro _com_liferay_my_account_web_portlet_MyAccountPortlet_backURL.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2024

Vulnerabilidad en Liferay Portal y DXP (CVE-2024-26272)
Fecha de publicación:
22/10/2024
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el editor de páginas de contenido en Liferay Portal 7.3.2 a 7.4.3.107, y Liferay DXP 2023.Q4.0 a 2023.Q4.2, 2023.Q3.1 a 2023.Q3.5, 7.4 GA a la actualización 92 y 7.3 GA a la actualización 35 permite a atacantes remotos (1) cambiar las contraseñas de los usuarios, (2) apagar el servidor, (3) ejecutar código arbitrario en la consola de scripts, (4) y realizar otras acciones administrativas a través del parámetro p_l_back_url.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2024

Vulnerabilidad en Liferay Portal y DXP (CVE-2024-26273)
Fecha de publicación:
22/10/2024
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el editor de páginas de contenido en Liferay Portal 7.4.0 a 7.4.3.103, y Liferay DXP 2023.Q4.0 a 2023.Q4.2, 2023.Q3.1 a 2023.Q3.5, 7.4 GA a la actualización 92 y 7.3 actualización 29 a la actualización 35 permite a atacantes remotos (1) cambiar las contraseñas de los usuarios, (2) apagar el servidor, (3) ejecutar código arbitrario en la consola de scripts, (4) y realizar otras acciones administrativas a través del parámetro _com_liferay_commerce_catalog_web_internal_portlet_CommerceCatalogsPortlet_redirect.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2024

Vulnerabilidad en OpenShift (CVE-2024-50311)
Fecha de publicación:
22/10/2024
Idioma:
Español
Se encontró una vulnerabilidad de denegación de servicio (DoS) en OpenShift. Este fallo permite a los atacantes explotar la funcionalidad de procesamiento por lotes de GraphQL. La vulnerabilidad surge cuando se pueden enviar múltiples consultas dentro de una sola solicitud, lo que permite a un atacante enviar una solicitud que contiene miles de alias en una sola consulta. Este problema provoca un consumo excesivo de recursos, lo que lleva a que la aplicación no esté disponible para los usuarios legítimos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2025

Vulnerabilidad en GraphQL (CVE-2024-50312)
Fecha de publicación:
22/10/2024
Idioma:
Español
Se encontró una vulnerabilidad en GraphQL debido a controles de acceso inadecuados en la consulta de introspección de GraphQL. Este fallo permite que usuarios no autorizados recuperen una lista completa de consultas y mutaciones disponibles. La exposición a este fallo aumenta la superficie de ataque, ya que puede facilitar el descubrimiento de fallos o errores específicos de la implementación de GraphQL de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2025
Suscribirse a Vulnerabilidades