Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Zenario 9.7.61188 (CVE-2024-45960)
Fecha de publicación:
02/10/2024
Idioma:
Español
Zenario 9.7.61188 permite a los usuarios administradores autenticados cargar archivos PDF que contienen código malicioso en el sistema de destino. Si se accede al archivo PDF a través del sitio web, puede desencadenar un ataque de Cross-Site Scripting (XSS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2025

Vulnerabilidad en October 3.6.30 (CVE-2024-45962)
Fecha de publicación:
02/10/2024
Idioma:
Español
October 3.6.30 permite a una cuenta de administrador autenticada puede cargar un archivo PDF que contenga JavaScript malicioso en el sistema de destino. Si se accede al archivo a través del sitio web, podría provocar un ataque de Cross-Site Scripting (XSS) o ejecutar código arbitrario a través de un JavaScript manipulado específicamente para el objetivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/09/2025

Vulnerabilidad en Zenario 9.7.61188 (CVE-2024-45964)
Fecha de publicación:
02/10/2024
Idioma:
Español
Zenario 9.7.61188 es vulnerable a Cross Site Scripting (XSS) en la librería de imágenes a través del campo "Etiquetas del organizador".
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2025

Vulnerabilidad en Contao 5.4.1 (CVE-2024-45965)
Fecha de publicación:
02/10/2024
Idioma:
Español
Contao 5.4.1 permite que una cuenta de administrador autenticada cargue un archivo SVG que contenga código JavaScript malicioso en el sistema de destino. Si se accede al archivo a través del sitio web, podría provocar un ataque de Cross-Site Scripting (XSS) o ejecutar código arbitrario a través de un código JavaScript manipulado específicamente para el objetivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/11/2025

Vulnerabilidad en OpenC3 COSMOS (CVE-2024-43795)
Fecha de publicación:
02/10/2024
Idioma:
Español
OpenC3 COSMOS proporciona la funcionalidad necesaria para enviar comandos a uno o más sistemas integrados y recibir datos de ellos. La funcionalidad de inicio de sesión contiene una vulnerabilidad de tipo cross-site scripting (XSS) reflejado. Esta vulnerabilidad se ha corregido en la versión 5.19.0. Nota: esta vulnerabilidad de vulnerabilidad de ejecución de comandos solo afecta a Open Source Edition, no a OpenC3 COSMOS Enterprise Edition.
Gravedad CVSS v4.0: MEDIA
Última modificación:
31/10/2024

Vulnerabilidad en Linear eMerge e3 (CVE-2024-9441)
Fecha de publicación:
02/10/2024
Idioma:
Español
La serie Linear eMerge e3 hasta la versión 1.00-07 es vulnerable a una vulnerabilidad de inyección de comandos del sistema operativo. Un atacante remoto y no autenticado puede ejecutar comandos arbitrarios del sistema operativo a través del parámetro login_id al invocar la función forgot_password a través de HTTP.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/10/2024

Vulnerabilidad en Cisco AnyConnect, Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway (CVE-2024-20513)
Fecha de publicación:
02/10/2024
Idioma:
Español
Una vulnerabilidad en el servidor VPN de Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) para usuarios específicos del servicio AnyConnect en un dispositivo afectado. Esta vulnerabilidad se debe a una entropía insuficiente para los controladores que se utilizan durante el establecimiento de una sesión VPN SSL. Un atacante no autenticado podría explotar esta vulnerabilidad mediante la fuerza bruta de controladores de sesión válidos. Un atacante autenticado podría explotar esta vulnerabilidad conectándose al servicio VPN AnyConnect de un dispositivo afectado para recuperar un controlador de sesión válido y, en función de ese controlador, predecir otros controladores de sesión válidos. A continuación, el atacante enviaría una solicitud HTTPS manipulada mediante el controlador de sesión forzado o previsto al servidor VPN AnyConnect del dispositivo. Una explotación exitosa podría permitir al atacante finalizar sesiones VPN SSL específicas, lo que obligaría a los usuarios remotos a iniciar nuevas conexiones VPN y volver a autenticarse.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release(9736) (CVE-2024-24116)
Fecha de publicación:
02/10/2024
Idioma:
Español
Un problema en Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release(9736) permite que un atacante remoto obtenga privilegios a través de system/config_menu.htm.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/02/2025

Vulnerabilidad en Slim Select (CVE-2024-9440)
Fecha de publicación:
02/10/2024
Idioma:
Español
Las versiones Slim Select 2.0 a 2.9.0 se ven afectadas por una posible vulnerabilidad de Cross-Site Scripting. En select.ts:createOption(), la variable de texto del objeto Options proporcionado por el usuario se asigna a un innerHTML sin sanear. El software que depende de esta librería para generar listas de forma dinámica utilizando entradas proporcionadas por el usuario sin desinfectar puede ser vulnerable a Cross-Site Scripting, lo que da como resultado que el atacante ejecute JavaScript. En este momento, no hay ningún parche disponible.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/11/2024

Vulnerabilidad en Cisco AnyConnect, Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway (CVE-2024-20499)
Fecha de publicación:
02/10/2024
Idioma:
Español
Varias vulnerabilidades en el servidor VPN de Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podrían permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en el servicio AnyConnect de un dispositivo afectado. Estas vulnerabilidades se deben a una validación insuficiente de los parámetros proporcionados por el cliente al establecer una sesión VPN SSL. Un atacante podría aprovechar estas vulnerabilidades enviando una solicitud HTTPS manipulada al servidor VPN de un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el servidor VPN de Cisco AnyConnect se reinicie, lo que provocaría la falla de las conexiones VPN SSL establecidas y obligaría a los usuarios remotos a iniciar una nueva conexión VPN y volver a autenticarse. Un ataque sostenido podría evitar que se establezcan nuevas conexiones VPN SSL. Nota: Cuando el tráfico del ataque se detiene, el servidor VPN de Cisco AnyConnect se recupera sin problemas sin necesidad de intervención manual.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2025

Vulnerabilidad en Cisco AnyConnect, Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway (CVE-2024-20500)
Fecha de publicación:
02/10/2024
Idioma:
Español
Una vulnerabilidad en el servidor VPN de Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en el servicio AnyConnect de un dispositivo afectado. Esta vulnerabilidad se debe a una gestión insuficiente de los recursos al establecer sesiones TLS/SSL. Un atacante podría aprovechar esta vulnerabilidad enviando una serie de mensajes TLS/SSL manipulados al servidor VPN de un dispositivo afectado. Una explotación exitosa podría permitir al atacante hacer que el servidor VPN de Cisco AnyConnect deje de aceptar nuevas conexiones, lo que impediría que se establecieran nuevas conexiones VPN SSL. Las sesiones VPN SSL existentes no se ven afectadas. Nota: Cuando el tráfico del ataque se detiene, el servidor VPN de Cisco AnyConnect se recupera sin problemas sin necesidad de intervención manual.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en Cisco AnyConnect, Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway (CVE-2024-20501)
Fecha de publicación:
02/10/2024
Idioma:
Español
Varias vulnerabilidades en el servidor VPN de Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podrían permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en el servicio AnyConnect de un dispositivo afectado. Estas vulnerabilidades se deben a una validación insuficiente de los parámetros proporcionados por el cliente al establecer una sesión VPN SSL. Un atacante podría aprovechar estas vulnerabilidades enviando una solicitud HTTPS manipulada al servidor VPN de un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el servidor VPN de Cisco AnyConnect se reinicie, lo que provocaría la falla de las conexiones VPN SSL establecidas y obligaría a los usuarios remotos a iniciar una nueva conexión VPN y volver a autenticarse. Un ataque sostenido podría evitar que se establezcan nuevas conexiones VPN SSL. Nota: Cuando el tráfico del ataque se detiene, el servidor VPN de Cisco AnyConnect se recupera sin problemas sin necesidad de intervención manual.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2025
Suscribirse a Vulnerabilidades