Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en fastly/js-compute (CVE-2024-38375)
Fecha de publicación:
26/06/2024
Idioma:
Español
@fastly/js-compute es un SDK de JavaScript y un tiempo de ejecución para crear aplicaciones Fastly Compute. Se determinó que la implementación de varias funciones incluía un error de use after free. Este error podría permitir la pérdida de datos no intencionada si el resultado de las funciones anteriores se enviara a cualquier otro lugar y, a menudo, resulta en una trampa de invitados que hace que los servicios devuelvan un 500. Este error se solucionó en la versión 3.16.0 de `@fastly/ Paquete js-compute`.F2937
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2024

Vulnerabilidad en SoftEtherVPN (CVE-2024-38520)
Fecha de publicación:
26/06/2024
Idioma:
Español
SoftEtherVPN es un programa VPN multiprotocolo, multiplataforma y de código abierto. Cuando SoftEtherVPN se implementa con L2TP habilitado en un dispositivo, presenta la posibilidad de que el host se utilice para la generación de tráfico de amplificación/reflexión porque responderá a cada paquete con dos paquetes de respuesta que son más grandes que el tamaño del paquete de solicitud. Este tipo de técnicas son utilizadas por actores externos que generan IP de origen falsificadas para apuntar a un destino en Internet. Esta vulnerabilidad ha sido parcheada en la versión 5.02.5185.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2024

Vulnerabilidad en Lumisxp (CVE-2024-33328)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting (XSS) en el componente main.jsp de Lumisxp v15.0.xa v16.1.x permite a los atacantes ejecutar scripts web o HTML de su elección a través de un payload manipulado inyectado en el parámetro pageId.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2025

Vulnerabilidad en Lumisxp (CVE-2024-33329)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una identificación privilegiada codificada dentro de Lumisxp v15.0.x a v16.1.x permite a los atacantes omitir la autenticación y acceder a páginas internas y otra información confidencial.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2025

Vulnerabilidad en MAP-OS (CVE-2024-35545)
Fecha de publicación:
26/06/2024
Idioma:
Español
Se descubrió que MAP-OS v4.45.0 y anteriores contienen una vulnerabilidad de Cross Site Scripting (XSS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2025

Vulnerabilidad en Devolutions Remote Desktop Manager (CVE-2024-6354)
Fecha de publicación:
26/06/2024
Idioma:
Español
El control de acceso inadecuado en el panel de PAM en Devolutions Remote Desktop Manager 2024.2.11 y versiones anteriores en Windows permite a un usuario autenticado omitir el permiso de ejecución mediante el uso del panel de PAM.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/03/2025

Vulnerabilidad en Jenkins Plain Credentials (CVE-2024-39459)
Fecha de publicación:
26/06/2024
Idioma:
Español
En casos excepcionales, el complemento Jenkins Plain Credentials 182.v468b_97b_9dcb_8 y versiones anteriores almacena las credenciales de archivos secretos sin cifrar (solo codificados en Base64) en el sistema de archivos del controlador Jenkins, donde pueden ser vistos por usuarios con acceso al sistema de archivos del controlador Jenkins (credenciales globales) o con Permiso de objeto/lectura extendida (credenciales con ámbito de carpeta).
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/10/2025

Vulnerabilidad en Jenkins Bitbucket Branch Source (CVE-2024-39460)
Fecha de publicación:
26/06/2024
Idioma:
Español
El complemento Jenkins Bitbucket Branch Source 886.v44cf5e4ecec5 y anteriores imprime el token de acceso Bitbucket OAuth como parte de la URL de Bitbucket en el registro de compilación en algunos casos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/10/2025

Vulnerabilidad en Jenkins Structs (CVE-2024-39458)
Fecha de publicación:
26/06/2024
Idioma:
Español
Cuando el complemento Jenkins Structs 337.v1b_04ea_4df7c8 y versiones anteriores no logra configurar un paso de compilación, registra un mensaje de advertencia que contiene información de diagnóstico que puede contener secretos pasados como parámetros de paso, lo que podría provocar la exposición accidental de secretos a través del registro predeterminado del sistema.
Gravedad CVSS v3.1: BAJA
Última modificación:
10/10/2025

Vulnerabilidad en Quickshare/Nearby (CVE-2024-38271)
Fecha de publicación:
26/06/2024
Idioma:
Español
Existe una vulnerabilidad en Quickshare/Nearby donde un atacante puede obligar a la víctima a permanecer conectada a un punto de acceso temporal creado para el recurso compartido. Como parte de la secuencia de paquetes en una conexión QuickShare a través de Bluetooth, el atacante obliga a la víctima a conectarse a la red WiFi del atacante y luego envía un OfflineFrame que bloquea Quick Share. Esto hace que la conexión Wifi a la red del atacante dure en lugar de regresar a la red anterior cuando finaliza la sesión de Quick Share, lo que permite que el atacante sea un MiTM. Recomendamos actualizar a la versión 1.0.1724.0 de Quickshare o superior
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2024

Vulnerabilidad en Quickshare/Nearby (CVE-2024-38272)
Fecha de publicación:
26/06/2024
Idioma:
Español
Existe una vulnerabilidad en Quickshare/Nearby donde un atacante puede omitir el cuadro de diálogo de aceptación de archivos en QuickShare Windows. Normalmente, en la aplicación QuickShare para Windows no podemos enviar un archivo sin que el usuario lo acepte desde el dispositivo receptor si la visibilidad está configurada en el modo todos o el modo contactos. Recomendamos actualizar a la versión 1.0.1724.0 de Quickshare o superior
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2024

Vulnerabilidad en October (CVE-2024-25637)
Fecha de publicación:
26/06/2024
Idioma:
Español
October es una plataforma CMS autohospedada basada en Laravel PHP Framework. El encabezado X-October-Request-Handler no sanitiza el nombre del controlador AJAX y permite que se refleje HTML sin escape. No hay ningún impacto ya que esta vulnerabilidad no se puede explotar mediante interacciones normales del navegador. Este valor sin escape solo es detectable cuando se utiliza una herramienta de interceptación de proxy. Este problema se solucionó en la versión 3.5.15.
Gravedad CVSS v3.1: BAJA
Última modificación:
29/09/2025
Suscribirse a Vulnerabilidades