Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco Nexus 3550-F (CVE-2024-20371)
Fecha de publicación:
06/11/2024
Idioma:
Español
Una vulnerabilidad en la programación de la lista de control de acceso (ACL) de los conmutadores Cisco Nexus 3550-F podría permitir que un atacante remoto no autenticado envíe tráfico que debería estar bloqueado a la interfaz de administración de un dispositivo afectado. Esta vulnerabilidad existe porque las reglas de denegación de ACL no se aplican correctamente en el momento del reinicio del dispositivo. Un atacante podría aprovechar esta vulnerabilidad al intentar enviar tráfico a la interfaz de administración de un dispositivo afectado. Una explotación exitosa podría permitir al atacante enviar tráfico a la interfaz de administración del dispositivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/11/2024

Vulnerabilidad en Cisco Unified Industrial Wireless Software para Cisco Ultra-Reliable Wireless Backhaul (CVE-2024-20418)
Fecha de publicación:
06/11/2024
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Industrial Wireless Software para Cisco Ultra-Reliable Wireless Backhaul (URWB) podría permitir que un atacante remoto no autenticado realice ataques de inyección de comandos con privilegios de superusuario en el sistema operativo subyacente. Esta vulnerabilidad se debe a una validación incorrecta de la entrada a la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP manipulada a la interfaz de administración basada en web de un sistema afectado. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios con privilegios de superusuario en el sistema operativo subyacente del dispositivo afectado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/11/2024

Vulnerabilidad en Cisco (CVE-2024-20445)
Fecha de publicación:
06/11/2024
Idioma:
Español
Una vulnerabilidad en la interfaz de usuario web de los teléfonos de escritorio Cisco de la serie 9800, los teléfonos IP de la serie 7800 y 8800 de Cisco y el teléfono con video Cisco 8875 podría permitir que un atacante remoto no autenticado acceda a información confidencial en un dispositivo afectado. Esta vulnerabilidad se debe al almacenamiento inadecuado de información confidencial dentro de la interfaz de usuario web de las cargas de teléfonos basadas en el protocolo de inicio de sesión (SIP). Un atacante podría aprovechar esta vulnerabilidad navegando hasta la dirección IP de un dispositivo que tenga habilitado el acceso web. Una explotación exitosa podría permitir al atacante acceder a información confidencial, incluidos los registros de llamadas entrantes y salientes. Nota: el acceso web está deshabilitado de forma predeterminada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/01/2026

Vulnerabilidad en NGINX OpenID Connect (CVE-2024-10318)
Fecha de publicación:
06/11/2024
Idioma:
Español
Se descubrió un problema de fijación de sesión en la implementación de referencia de NGINX OpenID Connect, donde no se verificaba un nonce en el momento de iniciar sesión. Esta falla permite que un atacante fije la sesión de una víctima a una cuenta controlada por el atacante. Como resultado, aunque el atacante no puede iniciar sesión como la víctima, puede forzar la sesión para asociarla con la cuenta controlada por el atacante, lo que lleva a un posible uso indebido de la sesión de la víctima.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/11/2024

Vulnerabilidad en Google Chrome (CVE-2024-10826)
Fecha de publicación:
06/11/2024
Idioma:
Español
Use after free en Experiencias familiares en Google Chrome en Android antes de la versión 130.0.6723.116 permitió que un atacante remoto potencialmente explotara la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
02/01/2025

Vulnerabilidad en didi Super-Jacoco 1.0 (CVE-2024-10919)
Fecha de publicación:
06/11/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en didi Super-Jacoco 1.0 y se ha clasificado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /cov/triggerUnitCover. La manipulación del argumento uuid provoca la inyección de comandos del sistema operativo. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/11/2024

Vulnerabilidad en travels-java-api de mariazevedo88 (CVE-2024-10920)
Fecha de publicación:
06/11/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en travels-java-api de mariazevedo88 hasta la versión 5.0.1 y se ha clasificado como problemática. Este problema afecta a la función doFilterInternal del archivo travels-java-api-master\src\main\java\io\github\mariazevedo88\travelsjavaapi\filters\JwtAuthenticationTokenFilter.java del componente JWT Secret Handler. La manipulación conduce al uso de una clave criptográfica codificada de forma rígida. El ataque puede iniciarse de forma remota. La complejidad de un ataque es bastante alta. Se sabe que su explotación es difícil. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v4.0: BAJA
Última modificación:
06/11/2024

Vulnerabilidad en Foreman (CVE-2024-6861)
Fecha de publicación:
06/11/2024
Idioma:
Español
Se encontró una falla de divulgación de información confidencial en Foreman a través de la API GraphQL. Si la función de introspección está habilitada, los atacantes pueden recuperar claves de autenticación de administrador confidenciales, lo que podría comprometer la API de todo el producto.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/11/2024

Vulnerabilidad en IBM Maximo Application Suite - Monitor Componen (CVE-2024-35146)
Fecha de publicación:
06/11/2024
Idioma:
Español
IBM Maximo Application Suite - Monitor Component 8.10.11, 8.11.8 y 9.0.0 es vulnerable a ataques de cross-site scripting. Esta vulnerabilidad permite que un atacante no autenticado incorpore código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales dentro de una sesión de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2025

Vulnerabilidad en D-Link (CVE-2024-10916)
Fecha de publicación:
06/11/2024
Idioma:
Español
Se ha detectado una vulnerabilidad clasificada como problemática en D-Link DNS-320, DNS-320LW, DNS-325 y DNS-340L hasta 20241028. Afecta a una parte desconocida del archivo /xml/info.xml del componente HTTP GET Request Handler. La manipulación conduce a la divulgación de información. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v4.0: MEDIA
Última modificación:
08/11/2024

Vulnerabilidad en CodeChecker (CVE-2024-10081)
Fecha de publicación:
06/11/2024
Idioma:
Español
CodeChecker es una herramienta de análisis, una base de datos de defectos y una extensión de visualización para Clang Static Analyzer y Clang Tidy. La omisión de autenticación se produce cuando la URL de la API termina con Autenticación. Esta omisión permite el acceso de superusuario a todos los endpoints de la API excepto Autenticación. Estos endpoints incluyen la capacidad de agregar, editar y eliminar productos, entre otras cosas. Todos los endpoints, excepto /Authentication, se ven afectados por la vulnerabilidad. Este problema afecta a CodeChecker: hasta la versión 6.24.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/11/2025

Vulnerabilidad en CodeChecker (CVE-2024-10082)
Fecha de publicación:
06/11/2024
Idioma:
Español
CodeChecker es una herramienta de análisis, una base de datos de defectos y una extensión de visualización para Clang Static Analyzer y Clang Tidy. La confusión del método de autenticación permite iniciar sesión como el usuario root integrado desde un servicio externo. El usuario root integrado hasta la versión 6.24.1 se genera de forma débil, no se puede deshabilitar y tiene acceso universal. Esta vulnerabilidad permite a un atacante que puede crear una cuenta en un servicio de autenticación externo habilitado iniciar sesión como el usuario root y acceder y controlar todo lo que se puede controlar a través de la interfaz web. El atacante necesita adquirir el nombre de usuario del usuario root para tener éxito. Este problema afecta a CodeChecker: hasta la versión 6.24.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/11/2025
Suscribirse a Vulnerabilidades