Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ReDi Restaurant Reservation para WordPress (CVE-2024-9240)
Fecha de publicación:
17/10/2024
Idioma:
Español
El complemento ReDi Restaurant Reservation para WordPress es vulnerable a ataques de cross-site scripting reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta la 24.0902 incluida. Esto permite que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/10/2024

Vulnerabilidad en Miniorange OTP Verification con Firebase para WordPress (CVE-2024-9861)
Fecha de publicación:
17/10/2024
Idioma:
Español
El complemento Miniorange OTP Verification con Firebase para WordPress es vulnerable a la omisión de autenticación en versiones hasta la 3.6.0 incluida. Esto se debe a la falta de validación en el token que se proporciona durante el inicio de sesión con OTP a través del complemento. Esto permite que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si conocen el número de teléfono asociado con ese usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/01/2025

Vulnerabilidad en Miniorange OTP Verification con Firebase para WordPress (CVE-2024-9862)
Fecha de publicación:
17/10/2024
Idioma:
Español
El complemento Miniorange OTP Verification con Firebase para WordPress es vulnerable a cambios arbitrarios de contraseñas de usuario en versiones hasta la 3.6.0 incluida. Esto se debe a que el complemento proporciona acceso controlado por el usuario a los objetos, lo que permite que un usuario omita la autorización y acceda a los recursos del sistema, y no se verifica la contraseña actual del usuario. Esto hace posible que atacantes no autenticados cambien las contraseñas de los usuarios y potencialmente se apropien de las cuentas de administrador.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/01/2025

Vulnerabilidad en Dell OpenManage Enterprise (CVE-2024-45766)
Fecha de publicación:
17/10/2024
Idioma:
Español
Dell OpenManage Enterprise, versión(es) OME 4.1 y anteriores, contiene(n) una vulnerabilidad de control inadecuado de generación de código ("inyección de código"). Un atacante con privilegios reducidos y acceso remoto podría aprovechar esta vulnerabilidad, lo que provocaría la ejecución de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/12/2024

Vulnerabilidad en Dell OpenManage Enterprise (CVE-2024-45767)
Fecha de publicación:
17/10/2024
Idioma:
Español
Dell OpenManage Enterprise, versión(es) OME 4.1 y anteriores, contiene(n) una vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en un comando SQL ("inyección SQL"). Un atacante con privilegios reducidos y acceso remoto podría aprovechar esta vulnerabilidad, lo que daría lugar a la divulgación de información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/12/2024

Vulnerabilidad en Co-Authors, Multiple Authors and Guest Authors in an Author Box with PublishPress Authors para WordPress (CVE-2024-9215)
Fecha de publicación:
17/10/2024
Idioma:
Español
El complemento Co-Authors, Multiple Authors and Guest Authors in an Author Box with PublishPress Authors para WordPress es vulnerable a Insecure Direct Object Reference to Privilege Escalation/Account Takeover en todas las versiones hasta la 4.7.1 incluida a través de action_edited_author() debido a la falta de validación en la clave controlada por el usuario 'authors-user_id'. Esto permite que atacantes autenticados, con acceso de nivel de autor y superior, actualicen direcciones de correo electrónico de cuentas de usuario arbitrarias, incluidos administradores, que luego se pueden aprovechar para restablecer la contraseña de la cuenta de ese usuario y obtener acceso.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2024

Vulnerabilidad en Autodesk (CVE-2024-7993)
Fecha de publicación:
16/10/2024
Idioma:
Español
Un archivo PDF manipulado con fines malintencionados, cuando se analiza a través de Autodesk Revit, puede forzar una escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, escribir datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2025

Vulnerabilidad en Autodesk (CVE-2024-7994)
Fecha de publicación:
16/10/2024
Idioma:
Español
Un archivo RFA manipulado con fines malintencionados, cuando se analiza a través de Autodesk Revit, puede provocar un desbordamiento de búfer basado en pila. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/10/2024

Vulnerabilidad en Action Text (CVE-2024-47888)
Fecha de publicación:
16/10/2024
Idioma:
Español
Action Text aporta contenido de texto enriquecido y edición a Rails. A partir de la versión 6.0.0 y anteriores a las versiones 6.1.7.9, 7.0.8.5, 7.1.4.1 y 7.2.1.1, existe una posible vulnerabilidad de ReDoS en el asistente `plain_text_for_blockquote_node` en Action Text. Un texto cuidadosamente elaborado puede hacer que el asistente `plain_text_for_blockquote_node` tarde una cantidad inesperada de tiempo, lo que posiblemente resulte en una vulnerabilidad de DoS. Todos los usuarios que ejecuten una versión afectada deben actualizar a las versiones 6.1.7.9, 7.0.8.5, 7.1.4.1 o 7.2.1.1 o aplicar el parche correspondiente inmediatamente. Como workaround, los usuarios pueden evitar llamar a `plain_text_for_blockquote_node` o actualizar a Ruby 3.2. Ruby 3.2 tiene mitigaciones para este problema, por lo que las aplicaciones Rails que usan Ruby 3.2 o una versión más reciente no se ven afectadas. Rails 8.0.0.beta1 depende de Ruby 3.2 o una versión posterior, por lo que no se ve afectado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/10/2024

Vulnerabilidad en Action Mailer (CVE-2024-47889)
Fecha de publicación:
16/10/2024
Idioma:
Español
Action Mailer es un framework para diseñar capas de servicio de correo electrónico. A partir de la versión 3.0.0 y anteriores a las versiones 6.1.7.9, 7.0.8.5, 7.1.4.1 y 7.2.1.1, existe una posible vulnerabilidad de ReDoS en el asistente block_format de Action Mailer. Un texto cuidadosamente elaborado puede hacer que el asistente block_format tarde una cantidad inesperada de tiempo, lo que puede dar como resultado una vulnerabilidad de DoS. Todos los usuarios que ejecuten una versión afectada deben actualizar a las versiones 6.1.7.9, 7.0.8.5, 7.1.4.1 o 7.2.1.1 o aplicar el parche correspondiente de inmediato. Como workaround, los usuarios pueden evitar llamar al asistente `block_format` o actualizar a Ruby 3.2. Ruby 3.2 tiene mitigaciones para este problema, por lo que las aplicaciones Rails que usan Ruby 3.2 o versiones más nuevas no se ven afectadas. Rails 8.0.0.beta1 requiere Ruby 3.2 o superior, por lo que no se ve afectado.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/10/2024

Vulnerabilidad en ClassCMS (CVE-2024-48180)
Fecha de publicación:
16/10/2024
Idioma:
Español
ClassCMS <=4.8 es vulnerable a la inclusión de archivos en el método nowView in/class/cms/cms.php, que puede incluir un archivo cargado en el directorio the/class/template para ejecutar código PHP.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/04/2025

Vulnerabilidad en dingfanzu CMS V1.0 (CVE-2024-48758)
Fecha de publicación:
16/10/2024
Idioma:
Español
Se descubrió que dingfanzu CMS V1.0 contiene Cross-Site Request Forgery (CSRF) a través del parámetro addPro del componente doAdminAction.php que permite a un atacante remoto ejecutar código arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2025
Suscribirse a Vulnerabilidades