Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform (CVE-2024-37179)
Fecha de publicación:
08/10/2024
Idioma:
Español
SAP BusinessObjects Business Intelligence Platform permite que un usuario autenticado envíe una solicitud especialmente manipulada al servidor de informes Web Intelligence para descargar cualquier archivo de la máquina que aloja el servicio, lo que provoca un alto impacto en la confidencialidad de la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2024

Vulnerabilidad en Saltcorn (CVE-2024-47818)
Fecha de publicación:
07/10/2024
Idioma:
Español
Saltcorn es un generador de aplicaciones de base de datos extensible, de código abierto y sin código. Un usuario conectado con cualquier función puede eliminar archivos arbitrarios en el sistema de archivos llamando al punto de conexión `sync/clean_sync_dir`. El parámetro POST `dir_name` no se valida ni se desinfecta y se utiliza para construir el `syncDir` que se elimina llamando a `fs.rm`. Este problema se ha solucionado en la versión de lanzamiento 1.0.0-beta16 y se recomienda a todos los usuarios que actualicen. No existen workarounds conocidas para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Solidigm (CVE-2024-47968)
Fecha de publicación:
07/10/2024
Idioma:
Español
El cierre inadecuado de recursos en medio de ciertas operaciones en algunos productos de Solidigm DC puede permitir que un atacante habilite potencialmente la denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Solidigm (CVE-2024-47969)
Fecha de publicación:
07/10/2024
Idioma:
Español
La gestión inadecuada de recursos en el firmware de algunos productos Solidigm DC puede permitir que un atacante habilite potencialmente la denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en CreateWiki (CVE-2024-47781)
Fecha de publicación:
07/10/2024
Idioma:
Español
CreateWiki es una extensión que se utiliza en Miraheze para solicitar y crear wikis. El nombre de los wikis solicitados no se escapa en Special:RequestWikiQueue, por lo que un usuario puede insertar HTML arbitrario que se muestra en la cola de solicitudes de wikis cuando solicita una wiki. Si un creador de wiki se encuentra con el payload XSS, su sesión de usuario puede ser utilizada de forma abusiva para recuperar solicitudes de wiki eliminadas, que normalmente contienen información privada. Del mismo modo, esto también puede ser utilizado de forma abusiva por aquellos que tienen la capacidad de suprimir solicitudes para ver información confidencial. Este problema se ha corregido con el commit `693a220` y se recomienda a todos los usuarios que apliquen el parche. Los usuarios que no puedan actualizar deben desactivar Javascript y/o evitar el acceso a la página vulnerable (Special:RequestWikiQueue).
Gravedad CVSS v4.0: MEDIA
Última modificación:
14/11/2024

Vulnerabilidad en WikiDiscover (CVE-2024-47782)
Fecha de publicación:
07/10/2024
Idioma:
Español
WikiDiscover es una extensión diseñada para usarse con una granja administrada por CreateWiki para mostrar wikis. Special:WikiDiscover es una página especial que enumera todas las wikis de la granja de wikis. Sin embargo, la página especial no hace ningún esfuerzo por escapar del nombre o la descripción de la wiki. Por lo tanto, si una wiki establece su nombre y/o descripción en una carga XSS, el XSS se ejecutará siempre que la wiki se muestre en Special:WikiDiscover. Este problema se ha corregido con el commit `2ce846dd93` y se recomienda a todos los usuarios que apliquen ese parche. Los usuarios que no puedan actualizar deben bloquear el acceso a `Special:WikiDiscover`.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2024

Vulnerabilidad en Vim (CVE-2024-47814)
Fecha de publicación:
07/10/2024
Idioma:
Español
Vim es un editor de texto de línea de comandos de código abierto. Se encontró un Use After Free en Vim anterior a la versión 9.1.0764. Al cerrar un búfer (visible en una ventana), un comando automático BufWinLeave puede provocar un Use After Free si este comando automático vuelve a abrir el mismo búfer en una nueva ventana dividida. El impacto es bajo, ya que el usuario debe haber configurado intencionalmente un comando automático tan extraño y haber ejecutado algunos comandos de descarga de búfer. Sin embargo, esto puede provocar un bloqueo. Este problema se ha solucionado en la versión 9.1.0764 y se recomienda a todos los usuarios que actualicen. No existen workarounds conocidas para esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025

Vulnerabilidad en VegaBird Vooki 5.2.9 (CVE-2024-45874)
Fecha de publicación:
07/10/2024
Idioma:
Español
Una vulnerabilidad de secuestro de DLL en VegaBird Vooki 5.2.9 permite a los atacantes ejecutar código arbitrario/mantener la persistencia colocando un archivo DLL manipulado en el mismo directorio que Vooki.exe.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Lara-zeus Dynamic Dashboard (CVE-2024-47817)
Fecha de publicación:
07/10/2024
Idioma:
Español
Lara-zeus Dynamic Dashboard una forma sencilla de administrar los widgets de la página de inicio de su sitio web, el panel de control de filament y Lara-zeus Artemis es una colección de temas para el ecosistema de Lara-zeus. Si los valores que se pasan a un widget de párrafo no son válidos y contienen un conjunto específico de caracteres, las aplicaciones son vulnerables a ataques XSS contra un usuario que abre una página en la que se muestra un widget de párrafo. Se recomienda a los usuarios que actualicen a las versiones de corrección adecuadas que se detallan en los metadatos del aviso. No existen workarounds conocidas para esta vulnerabilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en VegaBird Yaazhini 2.0.2 (CVE-2024-45873)
Fecha de publicación:
07/10/2024
Idioma:
Español
Una vulnerabilidad de secuestro de DLL en VegaBird Yaazhini 2.0.2 permite a los atacantes ejecutar código arbitrario/mantener la persistencia colocando un archivo DLL manipulado en el mismo directorio que Yaazhini.exe.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Solvait (CVE-2024-45919)
Fecha de publicación:
07/10/2024
Idioma:
Español
Se ha descubierto una falla de seguridad en la versión 24.4.2 de Solvait que permite a un atacante elevar sus privilegios. Al manipular los parámetros Request ID y Action Type en /AssignToMe/SetAction, un atacante puede eludir los flujos de trabajo de aprobación, lo que da lugar a un acceso no autorizado a información confidencial o a la aprobación de solicitudes fraudulentas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2025

Vulnerabilidad en Discourse (CVE-2024-47772)
Fecha de publicación:
07/10/2024
Idioma:
Español
Discourse es una plataforma de código abierto para debates comunitarios. Un atacante puede ejecutar código JavaScript arbitrario en los navegadores de los usuarios enviando un mensaje de chat manipulado con fines malintencionados y respondiéndolo. Este problema solo afecta a los sitios que tienen el CSP deshabilitado. Este problema está corregido en la última versión de Discourse. Se recomienda a todos los usuarios que actualicen la versión. Los usuarios que no puedan actualizar la versión deben asegurarse de que el CSP esté habilitado en el foro. Los usuarios que actualicen la versión también deben considerar habilitar un CSP, así como una medida proactiva.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/09/2025
Suscribirse a Vulnerabilidades