Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en pytorch/serve (CVE-2024-6577)
Fecha de publicación:
20/03/2025
Idioma:
Español
En la última versión de pytorch/serve, el script 'upload_results_to_s3.sh' hace referencia al bucket de S3 'benchmarkai-metrics-prod' sin garantizar su propiedad ni confirmar su accesibilidad. Esto podría generar vulnerabilidades de seguridad o acceso no autorizado al bucket si no está protegido correctamente o no es reclamado por la entidad correspondiente. El problema puede provocar filtraciones de datos, exposición de información confidencial o modificaciones no autorizadas de los datos almacenados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en infiniflow/ragflow (CVE-2024-12869)
Fecha de publicación:
20/03/2025
Idioma:
Español
En la versión v0.12.0 de infiniflow/ragflow, existe una vulnerabilidad de autenticación incorrecta que permite a un usuario ver la lista de invitados de otro. Esto puede provocar una vulneración de la privacidad, donde la información personal o privada de los usuarios, como sus direcciones de correo electrónico o nombres de usuario en la lista de invitados, podría quedar expuesta sin su consentimiento. Esta filtración de datos puede facilitar nuevos ataques, como phishing o spam, y provocar la pérdida de confianza y posibles problemas regulatorios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025

Vulnerabilidad en infiniflow/ragflow (CVE-2024-12871)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad XSS en infiniflow/ragflow versión 0.12.0 permite a un atacante subir un archivo PDF malicioso a la base de conocimientos. Al visualizar el archivo en Ragflow, el payload se ejecuta en el contexto del navegador del usuario. Esto puede provocar el secuestro de sesión, la exfiltración de datos o acciones no autorizadas realizadas en nombre de la víctima, comprometiendo datos confidenciales del usuario y afectando la integridad de toda la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2025

Vulnerabilidad en RAGFlow-0.13.0 de infiniflow/ragflow (CVE-2024-12880)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad en la versión RAGFlow-0.13.0 de infiniflow/ragflow permite la apropiación parcial de cuentas mediante consultas de datos inseguras. El problema surge de la forma en que se gestionan los ID de inquilino en la aplicación. Si un usuario tiene acceso a varios inquilinos, puede manipular su acceso para consultar y acceder a los tokens de API de otros inquilinos. Esta vulnerabilidad afecta a los siguientes endpoints: /v1/system/token_list, /v1/system/new_token, /v1/api/token_list, /v1/api/new_token y /v1/api/rm. Un atacante puede explotar esto para acceder a los tokens de API de otros inquilinos, realizar acciones en su nombre y acceder a sus datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025

Vulnerabilidad en comfyanonymous/comfyui (CVE-2024-12882)
Fecha de publicación:
20/03/2025
Idioma:
Español
La versión 0.2.4 de comfyanonymous/comfyui presenta una vulnerabilidad de Server-Side Request Forgery (SSRF) no ciega. Esta vulnerabilidad puede explotarse combinando las API REST `POST /internal/models/download` y `GET /view`, lo que permite a los atacantes abusar de las credenciales del servidor víctima para acceder a recursos web no autorizados.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/08/2025

Vulnerabilidad en run-llama/llama_index (CVE-2024-12909)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad en FinanceChatLlamaPack del repositorio run-llama/llama_index, versiones hasta la v0.12.3, permite la inyección de SQL en la función `run_sql_query` del `database_agent`. Un atacante puede explotar esta vulnerabilidad para inyectar consultas SQL arbitrarias, lo que provoca la ejecución remota de código (RCE) mediante la funcionalidad de objetos grandes de PostgreSQL. El problema se ha corregido en la versión 0.3.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/07/2025

Vulnerabilidad en run-llama/llama_index (CVE-2024-12910)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad en la clase `KnowledgeBaseWebReader` del repositorio run-llama/llama_index, versión más reciente, permite a un atacante provocar una denegación de servicio (DoS) al controlar una variable URL para que contenga la URL root. Esto provoca infinitas llamadas recursivas al método `get_article_urls`, agotando los recursos del sistema y potencialmente bloqueando la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025

Vulnerabilidad en infiniflow/ragflow (CVE-2024-12870)
Fecha de publicación:
20/03/2025
Idioma:
Español
Existe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en infiniflow/ragflow, que afecta a la última confirmación de la rama principal (cec2080). Esta vulnerabilidad permite a un atacante cargar archivos HTML/XML que pueden alojar payloads de JavaScript arbitrarias. Estos archivos se entregan con el tipo de contenido 'application/xml', que los navegadores procesan automáticamente. Esto puede provocar la ejecución de JavaScript arbitrario en el contexto del navegador del usuario, lo que podría permitir a los atacantes robar cookies y obtener acceso no autorizado a los archivos y recursos del usuario. La vulnerabilidad no requiere autenticación, por lo que es accesible para cualquier persona con acceso a la red de la instancia.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en huntr.dev (CVE-2024-12886)
Fecha de publicación:
20/03/2025
Idioma:
Español
Existe una vulnerabilidad de falta de memoria (OOM) en la versión 0.3.14 del servidor `ollama`. Esta vulnerabilidad puede activarse cuando un servidor API malicioso responde con una bomba HTTP gzip, lo que provoca el bloqueo del servidor `ollama`. La vulnerabilidad está presente en las funciones `makeRequestWithRetry` y `getAuthorizationToken`, que utilizan `io.ReadAll` para leer el cuerpo de la respuesta. Esto puede provocar un uso excesivo de memoria y una denegación de servicio (DoS).
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en parisneo/lollms-webui (CVE-2024-12766)
Fecha de publicación:
20/03/2025
Idioma:
Español
La versión V13 (feather) de parisneo/lollms-webui presenta una vulnerabilidad de Server-Side Request Forgery (SSRF) en la API REST `POST /api/proxy`. Los atacantes pueden explotar esta vulnerabilidad para abusar de las credenciales del servidor víctima y acceder a recursos web no autorizados mediante el parámetro JSON `{"url":"http://steal.target"}`. Los mecanismos de seguridad existentes, como `forbid_remote_access(lollmsElfServer)`, `lollmsElfServer.config.headless_server_mode` y `check_access(lollmsElfServer, request.client_id)`, no protegen contra esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2025

Vulnerabilidad en langgenius/dify (CVE-2024-12775)
Fecha de publicación:
20/03/2025
Idioma:
Español
La versión 0.10.1 de langgenius/dify contiene una vulnerabilidad de Server-Side Request Forgery (SSRF) en la funcionalidad de prueba de la opción "Crear herramienta personalizada" mediante la API REST `POST /console/api/workspaces/current/tool-provider/api/test/pre`. Los atacantes pueden configurar la `url` en el diccionario `servers` del esquema de OpenAI con URLs arbitrarias, lo que les permite abusar de las credenciales del servidor víctima para acceder a recursos web no autorizados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2025

Vulnerabilidad en langgenius/dify v0.10.1 (CVE-2024-12776)
Fecha de publicación:
20/03/2025
Idioma:
Español
En langgenius/dify v0.10.1, el endpoint `/forgot-password/resets` no verifica el código de restablecimiento de contraseña, lo que permite a un atacante restablecer la contraseña de cualquier usuario, incluidos los administradores. Esta vulnerabilidad puede comprometer completamente la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2025
Suscribirse a Vulnerabilidades