Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Sentry (CVE-2024-45606)
Fecha de publicación:
17/09/2024
Idioma:
Español
Sentry es una plataforma de seguimiento de errores y monitoreo de rendimiento que prioriza a los desarrolladores. Un usuario autenticado puede silenciar las reglas de alerta de organizaciones y proyectos arbitrarios con una ID de regla conocida. El usuario no necesita ser miembro de la organización ni tener permisos en el proyecto. En nuestra revisión, no hemos identificado instancias en las que las alertas hayan sido silenciadas por partes no autorizadas. Se emitió un parche para garantizar que las verificaciones de autorización tengan el alcance adecuado en las solicitudes para silenciar las reglas de alerta. Los usuarios autenticados que no tienen los permisos necesarios ya no pueden silenciar las alertas. Los usuarios de Sentry SaaS no necesitan realizar ninguna acción. Los usuarios alojados en Sentry deben actualizar a la versión **24.9.0** o superior. La función de silenciamiento de reglas estaba disponible de manera general a partir de la versión 23.6.0, pero los usuarios con acceso anticipado pueden haber tenido la función a partir de la versión 23.4.0. Se recomienda a los usuarios afectados que actualicen a la versión 24.9.0. No existen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2024

Vulnerabilidad en Vite (CVE-2024-45811)
Fecha de publicación:
17/09/2024
Idioma:
Español
Vite es un framework de herramientas de compilación de interfaz para JavaScript. En las versiones afectadas, el contenido de archivos arbitrarios se puede devolver al navegador. `@fs` niega el acceso a archivos fuera de la lista de permitidos de Vite. Agregar `?import&raw` a la URL evita esta limitación y devuelve el contenido del archivo si existe. Este problema se ha corregido en las versiones 5.4.6, 5.3.6, 5.2.14, 4.5.5 y 3.2.11. Se recomienda a los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Contao (CVE-2024-45398)
Fecha de publicación:
17/09/2024
Idioma:
Español
Contao es un CMS de código abierto. En las versiones afectadas, un usuario de back-end con acceso al administrador de archivos puede cargar archivos maliciosos y ejecutarlos en el servidor. Se recomienda a los usuarios que actualicen a Contao 4.13.49, 5.3.15 o 5.4.3. A los usuarios que no puedan actualizar se les recomienda que configuren su servidor web para que no ejecute archivos PHP y otros scripts en el directorio de carga de archivos de Contao.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/09/2024

Vulnerabilidad en Contao (CVE-2024-45604)
Fecha de publicación:
17/09/2024
Idioma:
Español
Contao es un CMS de código abierto. En las versiones afectadas, los usuarios autenticados en el back-end pueden incluir archivos fuera de la raíz del documento en el widget selector de archivos. Se recomienda a los usuarios que actualicen a Contao 4.13.49. No existen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/09/2024

Vulnerabilidad en SourceCodester Online Eyewear Shop 1.0 (CVE-2024-8949)
Fecha de publicación:
17/09/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Online Eyewear Shop 1.0. Afecta a una parte desconocida del archivo /classes/Master.php del componente Cart Content Handler. La manipulación del argumento cart_id/id provoca una gestión incorrecta de la propiedad. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/09/2024

Vulnerabilidad en Firefox (CVE-2024-8900)
Fecha de publicación:
17/09/2024
Idioma:
Español
Un atacante podría escribir datos en el portapapeles del usuario, sin tener en cuenta la solicitud de usuario, durante una determinada secuencia de eventos de navegación. Esta vulnerabilidad afecta a Firefox anterior a la versión 129.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2025

Vulnerabilidad en MicroPython 1.23.0 (CVE-2024-8946)
Fecha de publicación:
17/09/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en MicroPython 1.23.0. Se ha clasificado como crítica. Se ve afectada la función mp_vfs_umount del archivo extmod/vfs.c del componente VFS Unmount Handler. La manipulación provoca un desbordamiento del búfer basado en el montón. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y se puede utilizar. El nombre del parche es 29943546343c92334e8518695a11fc0e2ceea68b. Se recomienda aplicar un parche para solucionar este problema. En el proceso de desmontaje de VFS, la comparación entre la cadena de ruta montada y la cadena solicitada de desmontaje se basa únicamente en la longitud de la cadena de desmontaje, lo que puede provocar una lectura de desbordamiento del búfer del montón.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/09/2024

Vulnerabilidad en MicroPython 1.22.2 (CVE-2024-8947)
Fecha de publicación:
17/09/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en MicroPython 1.22.2. Se ha declarado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo py/objarray.c. La manipulación conduce a un uso después de la liberación. El ataque se puede lanzar de forma remota. La complejidad de un ataque es bastante alta. La explotación parece ser difícil. La actualización a la versión 1.23.0 puede solucionar este problema. El identificador del parche es 4bed614e707c0644c06e117f848fa12605c711cd. Se recomienda actualizar el componente afectado. En el componente objarray de micropython, cuando se cambia el tamaño de un objeto de bytes y se copia en sí mismo, puede hacer referencia a la memoria que ya se ha liberado.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/09/2024

Vulnerabilidad en MicroPython 1.23.0 (CVE-2024-8948)
Fecha de publicación:
17/09/2024
Idioma:
Español
Se encontró una vulnerabilidad en MicroPython 1.23.0. Se ha calificado como crítica. Este problema afecta a la función mpz_as_bytes del archivo py/objint.c. La manipulación provoca un desbordamiento del búfer en el montón. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse. El parche se identifica como 908ab1ceca15ee6fd0ef82ca4cba770a3ec41894. Se recomienda aplicar un parche para solucionar este problema. En el componente objint de micropython, la conversión de cero de int a bytes provoca un desbordamiento del búfer en el montón en mpz_as_bytes.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/09/2024

Vulnerabilidad en Apache Druid (CVE-2024-45384)
Fecha de publicación:
17/09/2024
Idioma:
Español
Vulnerabilidad de relleno de Oracle en la extensión de Apache Druid, druid-pac4j. Esto podría permitir que un atacante manipule una cookie de sesión de pac4j. Este problema afecta a las versiones de Apache Druid 0.18.0 a 30.0.0. Dado que la extensión druid-pac4j es opcional y está deshabilitada de forma predeterminada, las instalaciones de Druid que no utilicen la extensión druid-pac4j no se ven afectadas por esta vulnerabilidad. Si bien no conocemos una forma de explotar significativamente esta falla, recomendamos actualizar a la versión 30.0.1 o superior que soluciona el problema y asegurarse de tener una contraseña de cookie druid.auth.pac4j. segura como medida de precaución.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2025

Vulnerabilidad en Apache Druid (CVE-2024-45537)
Fecha de publicación:
17/09/2024
Idioma:
Español
Apache Druid permite a los usuarios con ciertos permisos leer datos de otros sistemas de bases de datos mediante JDBC. Esta funcionalidad permite a los usuarios de confianza configurar búsquedas de Druid o ejecutar tareas de ingesta. Druid también permite a los administradores configurar una lista de propiedades permitidas que los usuarios pueden proporcionar para sus conexiones JDBC. De forma predeterminada, esta lista de propiedades permitidas restringe a los usuarios solo a las propiedades relacionadas con TLS. Sin embargo, al configurar una conexión JDBC de MySQL, los usuarios pueden usar una cadena de conexión JDBC especialmente manipulada para proporcionar propiedades que no están en esta lista de permitidos. Los usuarios sin permiso para configurar conexiones JDBC no pueden aprovechar esta vulnerabilidad. CVE-2021-26919 describe una vulnerabilidad similar que se solucionó parcialmente en Apache Druid 0.20.2. Este problema se solucionó en Apache Druid 30.0.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2025

Vulnerabilidad en Contao (CVE-2024-45612)
Fecha de publicación:
17/09/2024
Idioma:
Español
Contao es un CMS de código abierto. En las versiones afectadas, un usuario no confiable puede insertar etiquetas de inserción en la etiqueta canónica, que luego se reemplazan en la página web (interfaz). Se recomienda a los usuarios que actualicen a Contao 4.13.49, 5.3.15 o 5.4.3. Los usuarios que no puedan actualizar deben deshabilitar las etiquetas canónicas en la configuración de la página raíz.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/09/2024
Suscribirse a Vulnerabilidades