Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en BoidCMS (CVE-2024-53255)
Fecha de publicación:
25/11/2024
Idioma:
Español
BoidCMS es un CMS de archivo plano gratuito y de código abierto para crear sitios web y blogs simples, desarrollado con PHP y que utiliza JSON como base de datos. En las versiones afectadas existe una vulnerabilidad de Cross-site Scripting (XSS) reflejado en el endpoint /admin?page=media del parámetro file, lo que permite a un atacante inyectar código JavaScript arbitrario. Este código podría usarse para robar la cookie de sesión del usuario, realizar ataques de phishing o desfigurar el sitio web. Este problema se ha solucionado en la versión 2.1.2 y se recomienda a todos los usuarios que actualicen la versión. No existen workarounds para esta vulnerabilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Management Console of BlackBerry AtHoc (CVE-2024-51723)
Fecha de publicación:
25/11/2024
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) almacenado en Management Console of BlackBerry AtHoc versión 7.15 podría permitir que un atacante ejecute potencialmente acciones en el contexto de la sesión de la víctima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2025

Vulnerabilidad en ngtcp2 (CVE-2024-52811)
Fecha de publicación:
25/11/2024
Idioma:
Español
El proyecto ngtcp2 es un esfuerzo por implementar el protocolo IETF QUIC en C. En las versiones afectadas, los acks no se validan antes de escribirse en el qlog, lo que genera un desbordamiento de búfer. En `ngtcp2_conn::conn_recv_pkt` para un ACK, se agregó una nueva lógica para omitir `conn_recv_ack` si ya se procesó un ack en el payload. Sin embargo, esto hace que también omitamos `ngtcp2_pkt_validate_ack`. El ack que se omitió se escribió en qlog. El error ocurre en `ngtcp2_qlog::write_ack_frame`. Ahora es posible acceder a este código con un ack no válido, supongamos que `largest_ack=0` y `first_ack_range=15`. Restar `largest_ack - first_ack_range` generará un desbordamiento de enteros de 20 caracteres. Sin embargo, el código qlog de ngtcp2 asume que el número escrito es un entero con signo y solo tiene en cuenta 19 caracteres de sobrecarga (consulte `NGTCP2_QLOG_ACK_FRAME_RANGE_OVERHEAD`). Por lo tanto, sobrescribimos el búfer y provocamos un desbordamiento del montón. Esto es de alta prioridad y podría afectar potencialmente a muchos usuarios si habilitan qlog. qlog está deshabilitado de forma predeterminada. Debido a su sobrecarga, lo más probable es que se use con fines de depuración, pero se desconoce su uso real. ngtcp2 v1.9.1 corrige el error y se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar no deben activar qlog.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en LafeLabs Chaos v0.0.1 (CVE-2024-53599)
Fecha de publicación:
25/11/2024
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) en el endpoint /scroll.php de LafeLabs Chaos v0.0.1 permite a los atacantes ejecutar secuencias de comandos web o HTML arbitrarios a través de un payload especialmente manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Deno (CVE-2024-32468)
Fecha de publicación:
25/11/2024
Idioma:
Español
Deno es un entorno de ejecución para JavaScript y TypeScript escrito en rust. Existían varias vulnerabilidades de cross-site scripting en el crate `deno_doc` que conducían a Self-XSS con deno doc --html. 1.) XSS en `search_index.js` generado, `deno_doc` genera un archivo JavaScript para realizar búsquedas. Sin embargo, el archivo generado utilizó `innerHTML` en la entrada HTML no desinfectada. 2.) XSS a través de nombres de propiedades, métodos y enumeraciones, `deno_doc` no saneó los nombres de propiedades, métodos y enumeraciones. Lo más probable es que el primer XSS no haya tenido un impacto ya que se espera que `deno doc --html` se use localmente con paquetes propios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Sensei Mac Cleaner (CVE-2024-7915)
Fecha de publicación:
25/11/2024
Idioma:
Español
La aplicación Sensei Mac Cleaner contiene una vulnerabilidad de escalada de privilegios locales, que permite a un atacante realizar múltiples operaciones como usuario superusuario. Estas operaciones incluyen la eliminación y escritura arbitraria de archivos, la carga y descarga de daemons, la manipulación de permisos de archivos y la carga de extensiones, entre otras acciones. Se puede contactar con el módulo vulnerable org.cindori.SenseiHelper a través de XPC. Si bien el módulo realiza la validación del cliente, se basa en el PID del cliente obtenido a través de la propiedad pública processIdentifier de la clase NSXPCConnection. Este enfoque hace que el módulo sea susceptible a un ataque de reutilización de PID, lo que permite a un atacante hacerse pasar por un cliente legítimo y enviar mensajes XPC diseñados para invocar métodos arbitrarios expuestos por la interfaz HelperProtocol.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en com.uaudio.bsd.helper (CVE-2024-8272)
Fecha de publicación:
25/11/2024
Idioma:
Español
El servicio com.uaudio.bsd.helper, responsable de gestionar operaciones privilegiadas, no implementa una validación crítica del cliente durante la comunicación entre procesos (IPC) de XPC. En concreto, el servicio no verifica los requisitos de código, los derechos ni los indicadores de seguridad de ningún cliente que intente establecer una conexión. Esta falta de validación adecuada permite que clientes no autorizados exploten los métodos del servicio y escalen privilegios a superusuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en libre-chat v0.0.6 (CVE-2024-52787)
Fecha de publicación:
25/11/2024
Idioma:
Español
Un problema en el método upload_documents de libre-chat v0.0.6 permite a los atacantes ejecutar un path traversal mediante el suministro de un nombre de archivo manipulado en un archivo cargado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Centreon centreon-open-tickets (CVE-2024-45756)
Fecha de publicación:
25/11/2024
Idioma:
Español
Se descubrió un problema en Centreon centreon-open-tickets 24.10.x anterior a 24.10.0, 24.04.x anterior a 24.04.2, 23.10.x anterior a 23.10.1, 23.04.x anterior a 23.04.3 y 22.10.x anterior a 22.10.2. La inyección SQL puede ocurrir en el formulario para crear un ticket. La explotación solo es accesible para usuarios autenticados con acceso con privilegios elevados.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Centreon centreon-dsm-server (CVE-2024-45755)
Fecha de publicación:
25/11/2024
Idioma:
Español
Se descubrió un problema en Centreon centreon-dsm-server 24.10.x anterior a 24.10.0, 24.04.x anterior a 24.04.3, 23.10.x anterior a 23.10.1, 23.04.x anterior a 23.04.3 y 22.10.x anterior a 22.10.2. La inyección de SQL puede ocurrir en el formulario para configurar las ranuras de Centreon DSM. La explotación solo es accesible para usuarios autenticados con acceso con privilegios elevados.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en IBM Jazz Foundation 7.0.2 (CVE-2023-45181)
Fecha de publicación:
25/11/2024
Idioma:
Español
IBM Jazz Foundation 7.0.2 y versiones anteriores son vulnerables a ataques de cross-site scripting. Esta vulnerabilidad permite a los usuarios incorporar código JavaScript arbitrario en la interfaz web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales dentro de una sesión de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/01/2025

Vulnerabilidad en IBM Jazz Foundation (CVE-2023-26280)
Fecha de publicación:
25/11/2024
Idioma:
Español
IBM Jazz Foundation 7.0.2 y 7.0.3 podrían permitir que un usuario cambie su panel de control mediante una solicitud HTTP especialmente manipulada debido a un control de acceso inadecuado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2025
Suscribirse a Vulnerabilidades