Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Hitachi Vantara Pentaho Business Analytics Server (CVE-2024-6697)
Fecha de publicación:
20/02/2025
Idioma:
Español
El producto no gestiona o gestiona incorrectamente cuando no tiene suficientes privilegios para acceder a los recursos o la funcionalidad según lo especificado por sus permisos. Esto puede provocar que siga rutas de código inesperadas que pueden dejar al producto en un estado no válido. (CWE-280) Las versiones de Hitachi Vantara Pentaho Business Analytics Server anteriores a 10.2.0.0 y 9.3.0.9, incluida la 8.3.x, no manejan correctamente los permisos no válidos o faltantes, lo que da como resultado una denegación de servicio. Un adversario aprovecha una capacidad legítima de una aplicación de tal manera que logra un impacto técnico negativo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2025

Vulnerabilidad en Palo Alto Networks Cortex XDR (CVE-2025-0112)
Fecha de publicación:
20/02/2025
Idioma:
Español
Un problema con un mecanismo de detección en el agente Palo Alto Networks Cortex XDR en los dispositivos de Windows permite a un usuario con privilegios no administrativos de Windows para deshabilitar al agente. Esta vulnerabilidad también puede ser apalancada por malware para deshabilitar el agente Cortex XDR y luego realizar actividades maliciosas.
Gravedad CVSS v4.0: MEDIA
Última modificación:
20/02/2025

Vulnerabilidad en NetScaler Console and NetScaler Agent (CVE-2024-12284)
Fecha de publicación:
20/02/2025
Idioma:
Español
La escalada de privilegios autenticado en NetScaler Console and NetScaler Agent permiten.
Gravedad CVSS v4.0: ALTA
Última modificación:
25/07/2025

Vulnerabilidad en Hitachi Vantara Pentaho Business Analytics Server (CVE-2024-37361)
Fecha de publicación:
20/02/2025
Idioma:
Español
La aplicación deserializa datos no confiables sin verificar suficientemente que los datos resultantes sean válidos. (CWE-502) Las versiones de Hitachi Vantara Pentaho Business Analytics Server anteriores a 10.2.0.0 y 9.3.0.9, incluida la 8.3.x, deserializan datos JSON no confiables sin restringir el analizador a clases y métodos aprobados. Cuando los desarrolladores no imponen restricciones a las "gadget chains", o series de instancias e invocaciones de métodos que pueden autoejecutarse durante el proceso de deserialización (es decir, antes de que el objeto se devuelva al autor de la llamada), a veces es posible que los atacantes las aprovechen para realizar acciones no autorizadas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/02/2025

Vulnerabilidad en Hitachi Vantara Pentaho Data Integration & Analytics (CVE-2024-37362)
Fecha de publicación:
20/02/2025
Idioma:
Español
El producto transmite o almacena credenciales de autenticación, pero utiliza un método inseguro que es susceptible de interceptación y/o recuperación no autorizada. (CWE-522) Las versiones de Hitachi Vantara Pentaho Data Integration & Analytics anteriores a 10.2.0.0 y 9.3.0.8, incluida la 8.3.x, revelan contraseñas de bases de datos al guardar conexiones en RedShift. Los productos no deben revelar información confidencial sin motivo. La divulgación de información confidencial puede dar lugar a una mayor explotación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2025

Vulnerabilidad en Hitachi Vantara Pentaho Business Analytics Server (CVE-2024-37363)
Fecha de publicación:
20/02/2025
Idioma:
Español
El producto no realiza una comprobación de autorización cuando un actor intenta acceder a un recurso o realizar una acción. (CWE-862) Las versiones de Hitachi Vantara Pentaho Business Analytics Server anteriores a 10.2.0.0 y 9.3.0.8, incluida la 8.3.x, no realizan correctamente una comprobación de autorización en el servicio de administración de origen de datos. Cuando las comprobaciones de control de acceso se aplican incorrectamente, los usuarios pueden acceder a datos o realizar acciones que no deberían tener permitido realizar. Esto puede provocar una amplia gama de problemas, incluidas exposiciones de información y denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2025

Vulnerabilidad en Hitachi Vantara Pentaho Business Analytics Server (CVE-2024-6696)
Fecha de publicación:
20/02/2025
Idioma:
Español
El producto implementa controles de acceso a través de una política u otra característica con la intención de deshabilitar o restringir los accesos (lecturas y/o escrituras) a los activos en un sistema por parte de agentes no confiables. Sin embargo, los controles de acceso implementados carecen de la granularidad requerida, lo que hace que la política de control sea demasiado amplia porque permite accesos de agentes no autorizados a los activos sensibles a la seguridad. (CWE-1220) Las versiones de Hitachi Vantara Pentaho Business Analytics Server anteriores a 10.2.0.0 y 9.3.0.9, incluida la 8.3.x, no realizan correctamente una verificación de autorización en el contenido de la papelera de la consola de usuario Un atacante explota una debilidad en la configuración de los controles de acceso y puede eludir la protección prevista que estas medidas protegen y, de ese modo, obtener acceso no autorizado al sistema o la red.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2025

Vulnerabilidad en Power Pages (CVE-2025-24989)
Fecha de publicación:
19/02/2025
Idioma:
Español
Una vulnerabilidad de control de acceso inadecuado en Power Pages permite a un atacante no autorizado elevar privilegios en una red y posiblemente eludir el control de registro de usuarios. Esta vulnerabilidad ya se ha mitigado en el servicio y se ha notificado a todos los clientes afectados. Esta actualización solucionó el problema de eludir el control de registro. Se han dado instrucciones a los clientes afectados para que revisen sus sitios en busca de posibles explotaciones y métodos de depuración. Si no ha recibido una notificación, esta vulnerabilidad no le afecta.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/10/2025

Vulnerabilidad en Bento4 V1.6.0-641 (CVE-2025-25942)
Fecha de publicación:
19/02/2025
Idioma:
Español
Un problema en Bento4 V1.6.0-641 permite a un atacante obtener información confidencial a través de la herramienta MP4Fragment al procesar archivos no válidos. Específicamente, la memoria asignada en SamplearRay :: SamplearRay en MP4Fragment.cpp no ??se libera correctamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025

Vulnerabilidad en Bento4 v.1.6.0-641 (CVE-2025-25943)
Fecha de publicación:
19/02/2025
Idioma:
Español
La vulnerabilidad del desbordamiento del búfer en Bento4 v.1.6.0-641 permite a un atacante local ejecutar código arbitrario a través del componente AP4_STZ2ATOM :: AP4_STZ2ATOM ubicado en AP4STZ2ATOM.CPP.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2025

Vulnerabilidad en Bento4 v.1.6.0-641 (CVE-2025-25944)
Fecha de publicación:
19/02/2025
Idioma:
Español
La vulnerabilidad de desbordamiento de búfer en Bento4 v.1.6.0-641 permite a un atacante local ejecutar código arbitrario a través de Ap4RtpAtom.cpp, específicamente en AP4_RtpAtom::AP4_RtpAtom, durante la ejecución de mp4fragment con un archivo de entrada MP4 manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2025

Vulnerabilidad en Bento4 V1.6.0-641 (CVE-2025-25945)
Fecha de publicación:
19/02/2025
Idioma:
Español
Un problema en Bento4 V1.6.0-641 permite que un atacante obtenga información confidencial a través del mp4fragment.cpp y en ap4_descriptorFactory :: createscriptorFromStream en ap4descriptorFactory.cpp.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025
Suscribirse a Vulnerabilidades