Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Linear eMerge e3 (CVE-2024-9441)
Fecha de publicación:
02/10/2024
Idioma:
Español
La serie Linear eMerge e3 hasta la versión 1.00-07 es vulnerable a una vulnerabilidad de inyección de comandos del sistema operativo. Un atacante remoto y no autenticado puede ejecutar comandos arbitrarios del sistema operativo a través del parámetro login_id al invocar la función forgot_password a través de HTTP.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/10/2024

Vulnerabilidad en Cisco AnyConnect, Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway (CVE-2024-20513)
Fecha de publicación:
02/10/2024
Idioma:
Español
Una vulnerabilidad en el servidor VPN de Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) para usuarios específicos del servicio AnyConnect en un dispositivo afectado. Esta vulnerabilidad se debe a una entropía insuficiente para los controladores que se utilizan durante el establecimiento de una sesión VPN SSL. Un atacante no autenticado podría explotar esta vulnerabilidad mediante la fuerza bruta de controladores de sesión válidos. Un atacante autenticado podría explotar esta vulnerabilidad conectándose al servicio VPN AnyConnect de un dispositivo afectado para recuperar un controlador de sesión válido y, en función de ese controlador, predecir otros controladores de sesión válidos. A continuación, el atacante enviaría una solicitud HTTPS manipulada mediante el controlador de sesión forzado o previsto al servidor VPN AnyConnect del dispositivo. Una explotación exitosa podría permitir al atacante finalizar sesiones VPN SSL específicas, lo que obligaría a los usuarios remotos a iniciar nuevas conexiones VPN y volver a autenticarse.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release(9736) (CVE-2024-24116)
Fecha de publicación:
02/10/2024
Idioma:
Español
Un problema en Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release(9736) permite que un atacante remoto obtenga privilegios a través de system/config_menu.htm.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/02/2025

Vulnerabilidad en Slim Select (CVE-2024-9440)
Fecha de publicación:
02/10/2024
Idioma:
Español
Las versiones Slim Select 2.0 a 2.9.0 se ven afectadas por una posible vulnerabilidad de Cross-Site Scripting. En select.ts:createOption(), la variable de texto del objeto Options proporcionado por el usuario se asigna a un innerHTML sin sanear. El software que depende de esta librería para generar listas de forma dinámica utilizando entradas proporcionadas por el usuario sin desinfectar puede ser vulnerable a Cross-Site Scripting, lo que da como resultado que el atacante ejecute JavaScript. En este momento, no hay ningún parche disponible.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/11/2024

Vulnerabilidad en Cisco AnyConnect, Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway (CVE-2024-20499)
Fecha de publicación:
02/10/2024
Idioma:
Español
Varias vulnerabilidades en el servidor VPN de Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podrían permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en el servicio AnyConnect de un dispositivo afectado. Estas vulnerabilidades se deben a una validación insuficiente de los parámetros proporcionados por el cliente al establecer una sesión VPN SSL. Un atacante podría aprovechar estas vulnerabilidades enviando una solicitud HTTPS manipulada al servidor VPN de un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el servidor VPN de Cisco AnyConnect se reinicie, lo que provocaría la falla de las conexiones VPN SSL establecidas y obligaría a los usuarios remotos a iniciar una nueva conexión VPN y volver a autenticarse. Un ataque sostenido podría evitar que se establezcan nuevas conexiones VPN SSL. Nota: Cuando el tráfico del ataque se detiene, el servidor VPN de Cisco AnyConnect se recupera sin problemas sin necesidad de intervención manual.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2025

Vulnerabilidad en Cisco AnyConnect, Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway (CVE-2024-20500)
Fecha de publicación:
02/10/2024
Idioma:
Español
Una vulnerabilidad en el servidor VPN de Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en el servicio AnyConnect de un dispositivo afectado. Esta vulnerabilidad se debe a una gestión insuficiente de los recursos al establecer sesiones TLS/SSL. Un atacante podría aprovechar esta vulnerabilidad enviando una serie de mensajes TLS/SSL manipulados al servidor VPN de un dispositivo afectado. Una explotación exitosa podría permitir al atacante hacer que el servidor VPN de Cisco AnyConnect deje de aceptar nuevas conexiones, lo que impediría que se establecieran nuevas conexiones VPN SSL. Las sesiones VPN SSL existentes no se ven afectadas. Nota: Cuando el tráfico del ataque se detiene, el servidor VPN de Cisco AnyConnect se recupera sin problemas sin necesidad de intervención manual.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en Cisco AnyConnect, Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway (CVE-2024-20501)
Fecha de publicación:
02/10/2024
Idioma:
Español
Varias vulnerabilidades en el servidor VPN de Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podrían permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en el servicio AnyConnect de un dispositivo afectado. Estas vulnerabilidades se deben a una validación insuficiente de los parámetros proporcionados por el cliente al establecer una sesión VPN SSL. Un atacante podría aprovechar estas vulnerabilidades enviando una solicitud HTTPS manipulada al servidor VPN de un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el servidor VPN de Cisco AnyConnect se reinicie, lo que provocaría la falla de las conexiones VPN SSL establecidas y obligaría a los usuarios remotos a iniciar una nueva conexión VPN y volver a autenticarse. Un ataque sostenido podría evitar que se establezcan nuevas conexiones VPN SSL. Nota: Cuando el tráfico del ataque se detiene, el servidor VPN de Cisco AnyConnect se recupera sin problemas sin necesidad de intervención manual.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2025

Vulnerabilidad en Cisco AnyConnect, Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway (CVE-2024-20502)
Fecha de publicación:
02/10/2024
Idioma:
Español
Una vulnerabilidad en el servidor VPN de Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a una gestión insuficiente de los recursos al establecer sesiones VPN SSL. Un atacante podría aprovechar esta vulnerabilidad enviando una serie de solicitudes HTTPS manipuladas al servidor VPN de un dispositivo afectado. Una explotación exitosa podría permitir al atacante hacer que el servidor VPN de Cisco AnyConnect deje de aceptar nuevas conexiones, lo que impediría que se establecieran nuevas conexiones VPN SSL. Las sesiones VPN SSL existentes no se ven afectadas. Nota: Cuando el tráfico del ataque se detiene, el servidor VPN de Cisco AnyConnect se recupera sin problemas sin necesidad de intervención manual.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en Cisco AnyConnect, Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway (CVE-2024-20509)
Fecha de publicación:
02/10/2024
Idioma:
Español
Una vulnerabilidad en el servidor VPN de Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podría permitir que un atacante remoto no autenticado secuestre una sesión VPN de AnyConnect o provoque una condición de denegación de servicio (DoS) para usuarios individuales del servicio VPN de AnyConnect en un dispositivo afectado. Esta vulnerabilidad se debe a una entropía débil para los controladores que se utilizan durante el proceso de autenticación de VPN, así como a una condición de ejecución que existe en el mismo proceso. Un atacante podría aprovechar esta vulnerabilidad adivinando correctamente un controlador de autenticación y luego enviando solicitudes HTTPS manipuladas a un dispositivo afectado. Una explotación exitosa podría permitir al atacante tomar el control de la sesión VPN de AnyConnect de un usuario objetivo o evitar que el usuario objetivo establezca una sesión VPN de AnyConnect con el dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en Cisco AnyConnect, Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway (CVE-2024-20498)
Fecha de publicación:
02/10/2024
Idioma:
Español
Varias vulnerabilidades en el servidor VPN de Cisco AnyConnect de los dispositivos Cisco Meraki MX y Cisco Meraki Z Series Teleworker Gateway podrían permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en el servicio AnyConnect de un dispositivo afectado. Estas vulnerabilidades se deben a una validación insuficiente de los parámetros proporcionados por el cliente al establecer una sesión VPN SSL. Un atacante podría aprovechar estas vulnerabilidades enviando una solicitud HTTPS manipulada al servidor VPN de un dispositivo afectado. Una explotación exitosa podría permitir que el atacante haga que el servidor VPN de Cisco AnyConnect se reinicie, lo que provocaría la falla de las conexiones VPN SSL establecidas y obligaría a los usuarios remotos a iniciar una nueva conexión VPN y volver a autenticarse. Un ataque sostenido podría evitar que se establezcan nuevas conexiones VPN SSL. Nota: Cuando el tráfico del ataque se detiene, el servidor VPN de Cisco AnyConnect se recupera sin problemas sin necesidad de intervención manual.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2025

Vulnerabilidad en Yitu de Wanxing Technology (CVE-2024-24122)
Fecha de publicación:
02/10/2024
Idioma:
Español
Una vulnerabilidad de ejecución remota de código en la gestión de proyectos del proyecto Yitu de Wanxing Technology que permite a un atacante utilizar el archivo exp.adpx como un archivo comprimido zip para construir un nombre de archivo especial, que puede usarse para descomprimir el archivo del proyecto en la carpeta de inicio del sistema, reiniciar el sistema y ejecutar automáticamente el script de ataque construido.
Gravedad CVSS v3.1: BAJA
Última modificación:
13/11/2024

Vulnerabilidad en OS4ED openSIS-Classic v9.1 (CVE-2024-46626)
Fecha de publicación:
02/10/2024
Idioma:
Español
Se descubrió que OS4ED openSIS-Classic v9.1 contenía una vulnerabilidad de inyección SQL a través de un payload manipulado específicamente.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/07/2025
Suscribirse a Vulnerabilidades