Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

CVE-2023-46453
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Certain GL.iNet devices with 4.x firmware allow authentication bypass (resulting in administrative control of the device) via a username that is both a valid SQL statement and a valid regular expression. For example, this affects version 4.3.7 on GL-MT3000 GL-AR300M GL-B1300 GL-AX1800 GL-AR750S GL-MT2500 GL-AXT1800 GL-X3000 and GL-SFT1200.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/05/2026

CVE-2024-51092
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** LibreNMS before 24.10.0 allows a remote attacker to execute arbitrary code via OS command injection involving AboutController.php's index(), SettingsController.php's update(), and PollDevice.php's initRrdDirectory().
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/05/2026

CVE-2024-53326
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** LINQPad before 5.52.01 Pro edition is vulnerable to Unsafe Deserialization in LINQPad.AutoRefManager::PopulateFromCache(), leading to code execution.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2026

CVE-2024-27686
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Mikrotik RouterOS (x86) 6.40.5 through 6.49.10 (fixed in 7) allows a remote attacker to cause a denial of service (device crash) via crafted packet data to the SMB service on TCP port 445.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2026

CVE-2024-30167
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** /cgi-bin/time.cgi in Atlona AT-OME-MS42 Matrix Switcher 1.1.2 allow remote authenticated users to execute arbitrary commands as root via a POST request that carries a serverName parameter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/05/2026

CVE-2024-33288
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** Prison Management System Using PHP v1.0 was discovered to contain a SQL injection vulnerability via the username on the Admin login page.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2026

CVE-2024-33722
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** SOPlanning 1.52.00 is vulnerable to SQL Injection by an authenticated user via projets.php with statut[].
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/05/2026

CVE-2024-45257
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A Command Injection issue in the payload build page in BYOB (Build Your Own Botnet) 2.0 allows attackers to execute arbitrary commands on the server via a crafted build parameter. This occurs in freeze in core/generators.py.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2026

CVE-2024-46507
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** A SSTI (server side template injection) vulnerability in the custom template export function in yeti-platform yeti before 2.1.12 allows attackers to execute code on the application server.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2026

CVE-2024-46508
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** yeti-platform yeti before 2.1.12 allows attackers to generate valid JWT tokens is the secret is not changed (by setting YETI_AUTH_SECRET_KEY to a value other than SECRET).
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2026

CVE-2024-33724
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** SOPlanning 1.52.00 is vulnerable to Cross Site Scripting (XSS) via the groupe_id parameter to process/groupe_save.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/05/2026

CVE-2023-47268
Fecha de publicación:
08/05/2026
Idioma:
Inglés
*** Pendiente de traducción *** In libslic3r/GCode/PostProcessor.cpp in Prusa PrusaSlicer through 2.6.1, a crafted 3mf project file can execute arbitrary code on a host where the project is sliced and G-code exported.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/05/2026
Suscribirse a Vulnerabilidades