Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en stitionai/devika de GitHub (CVE-2024-5549)
Fecha de publicación:
09/07/2024
Idioma:
Español
Error de validación de origen en el repositorio de GitHub stitionai/devika antes de -.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en librería jaraco/zipp (CVE-2024-5569)
Fecha de publicación:
09/07/2024
Idioma:
Español
Existe una vulnerabilidad de denegación de servicio (DoS) en la librería jaraco/zipp que afecta a todas las versiones anteriores a la 3.19.1. La vulnerabilidad se activa al procesar un archivo zip especialmente manipulado que genera un bucle infinito. Este problema también afecta al módulo zipfile de CPython, ya que las funciones de la librería zipp de terceros se fusionan posteriormente en CPython y el código afectado es idéntico en ambos proyectos. El bucle infinito se puede iniciar mediante el uso de funciones que afectan al módulo `Path` tanto en zipp como en zipfile, como `joinpath`, el operador de división sobrecargado e `iterdir`. Aunque el bucle infinito no agota los recursos, impide que la aplicación responda. La vulnerabilidad se solucionó en la versión 3.19.1 de jaraco/zipp.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025

Vulnerabilidad en Undertow (CVE-2024-3653)
Fecha de publicación:
08/07/2024
Idioma:
Español
Se encontró una vulnerabilidad en Undertow. Este problema requiere habilitar el controlador de aprendizaje-push en la configuración del servidor, que está deshabilitado de forma predeterminada, dejando la configuración maxAge en el controlador sin configurar. El valor predeterminado es -1, lo que hace que el controlador sea vulnerable. Si alguien sobrescribe esa configuración, el servidor no está sujeto al ataque. El atacante debe poder llegar al servidor con una solicitud HTTP normal.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/09/2024

Vulnerabilidad en OpenVPN (CVE-2024-28882)
Fecha de publicación:
08/07/2024
Idioma:
Español
OpenVPN 2.6.10 y versiones anteriores en una función de servidor aceptan múltiples notificaciones de salida de clientes autenticados que extenderán la validez de una sesión de cierre
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en Undici (CVE-2024-38372)
Fecha de publicación:
08/07/2024
Idioma:
Español
Undici es un cliente HTTP/1.1, escrito desde cero para Node.js. Dependiendo de las condiciones de la red y del proceso de una solicitud `fetch()`, `response.arrayBuffer()` podría incluir parte de la memoria del proceso Node.js. Esto ha sido parcheado en v6.19.2.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/07/2024

Vulnerabilidad en Undertow (CVE-2024-5971)
Fecha de publicación:
08/07/2024
Idioma:
Español
Se encontró una vulnerabilidad en Undertow, donde la respuesta fragmentada se suspende después de que se lavó el cuerpo. Los encabezados y el cuerpo de la respuesta se enviaron, pero el cliente continuaría esperando ya que Undertow no envía la terminación 0\r\n esperada de la respuesta fragmentada. Esto da como resultado un consumo descontrolado de recursos, dejando al lado del servidor expuesto a un ataque de denegación de servicio. Esto sucede solo con escenarios Java 17 TLSv1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/09/2024

Vulnerabilidad en aimhubio/aim (CVE-2024-6227)
Fecha de publicación:
08/07/2024
Idioma:
Español
Una vulnerabilidad en aimhubio/aim versión 3.19.3 permite a un atacante provocar una denegación de servicio configurando el servidor de seguimiento remoto para que apunte a sí mismo. Esto da como resultado que el servidor se conecte interminablemente consigo mismo, lo que le impide responder a otras conexiones.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/08/2024

Vulnerabilidad en IPWorks (CVE-2024-6580)
Fecha de publicación:
08/07/2024
Idioma:
Español
Se puede inducir al componente SFTPServer de la librería SSH de IPWorks del software /n a realizar solicitudes no deseadas de ruta de red o de sistema de archivos al cargar un certificado o clave pública SSH. Para ser explotable, una aplicación que llama al componente SFTPServer debe otorgar acceso al usuario sin verificar la clave pública o el certificado SSH (lo que probablemente sería una vulnerabilidad separada en la aplicación que llama). Las versiones 22.0.8945 y 24.0.8945 de IPWorks SSH se lanzaron para abordar esta condición mediante el bloqueo de todas las solicitudes de rutas de red y sistemas de archivos para claves públicas o certificados SSH.
Gravedad CVSS v4.0: BAJA
Última modificación:
26/09/2025

Vulnerabilidad en OpenSSH (CVE-2024-6409)
Fecha de publicación:
08/07/2024
Idioma:
Español
Se encontró una vulnerabilidad de condición de ejecución del controlador de señales en el servidor de OpenSSH (sshd), donde un cliente no se autentica dentro de los segundos de LoginGraceTime (120 de forma predeterminada, 600 en versiones anteriores de OpenSSH), luego se llama al controlador SIGALRM de sshd de forma asincrónica. Sin embargo, este controlador de señales llama a varias funciones que no son seguras para señales asíncronas, por ejemplo, syslog(). Este problema lo deja vulnerable a una condición de ejecución del controlador de señales en la función cleanup_exit(), que introduce la misma vulnerabilidad que CVE-2024-6387 en el hijo sin privilegios del servidor SSHD.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2024

Vulnerabilidad en Sitefinity (CVE-2024-4882)
Fecha de publicación:
08/07/2024
Idioma:
Español
El usuario puede ser redirigido a un sitio arbitrario en Sitefinity 15.1.8321.0 y versiones anteriores.
Gravedad: Pendiente de análisis
Última modificación:
09/07/2024

Vulnerabilidad en Directus (CVE-2024-39896)
Fecha de publicación:
08/07/2024
Idioma:
Español
Directus es una API y un panel de aplicaciones en tiempo real para administrar el contenido de la base de datos SQL. Cuando se depende de proveedores de SSO en combinación con la autenticación local, es posible enumerar los usuarios de SSO existentes en la instancia. Esto es posible porque si existe una dirección de correo electrónico en Directus y pertenece a un proveedor de SSO conocido, se generará un error "helpful" de que el usuario pertenece a otro proveedor. Esta vulnerabilidad se solucionó en 10.13.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/01/2025

Vulnerabilidad en tap-windows6 (CVE-2024-1305)
Fecha de publicación:
08/07/2024
Idioma:
Español
La versión 9.26 y anteriores del controlador tap-windows6 no verifica correctamente los datos de tamaño de las operaciones de escritura entrantes que un atacante puede usar para desbordar los búfers de memoria, lo que resulta en una verificación de errores y la ejecución de código potencialmente arbitrario en el espacio del kernel.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/08/2025
Suscribirse a Vulnerabilidades