Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en GitLab EE (CVE-2024-4099)
Fecha de publicación:
26/09/2024
Idioma:
Español
Se ha descubierto un problema en GitLab EE que afecta a todas las versiones a partir de la 16.0 anterior a la 17.2.8, de la 17.3 anterior a la 17.3.4 y de la 17.4 anterior a la 17.4.1. Se descubrió que una función de IA leía contenido no desinfectado de una manera que podría haber permitido a un atacante ocultar la inyección de mensajes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/10/2024

Vulnerabilidad en CUPS (CVE-2024-47177)
Fecha de publicación:
26/09/2024
Idioma:
Español
CUPS es un sistema de impresión de código abierto basado en estándares, y cups-filters proporciona backends, filtros y otro software para que CUPS 2.x se utilice en sistemas que no sean Mac OS. Cualquier valor que se pase a `FoomaticRIPCommandLine` a través de un archivo PPD se ejecutará como un comando controlado por el usuario. Cuando se combina con otros errores lógicos como los descritos en CVE_2024-47176, esto puede provocar la ejecución remota de comandos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/05/2025

Vulnerabilidad en CUPS (CVE-2024-47176)
Fecha de publicación:
26/09/2024
Idioma:
Español
CUPS es un sistema de impresión de código abierto basado en estándares, y `cups-browsed` contiene funcionalidades de impresión en red que incluyen, entre otras, servicios de impresión de detección automática e impresoras compartidas. `cups-browsed` se vincula a `INADDR_ANY:631`, lo que hace que confíe en cualquier paquete de cualquier origen, y puede provocar la solicitud IPP `Get-Printer-Attributes` a una URL controlada por el atacante. Debido a la vinculación del servicio a `*:631 ( INADDR_ANY )`, se pueden explotar varios errores en `cups-browsed` en secuencia para introducir una impresora maliciosa en el sistema. Esta cadena de exploits finalmente permite a un atacante ejecutar comandos arbitrarios de forma remota en la máquina de destino sin autenticación cuando se inicia un trabajo de impresión. Esto plantea un riesgo de seguridad significativo en la red. Cabe destacar que esta vulnerabilidad es particularmente preocupante ya que se puede explotar desde Internet público, lo que potencialmente expone una gran cantidad de sistemas a ataques remotos si sus servicios CUPS están habilitados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en CUPS (CVE-2024-47076)
Fecha de publicación:
26/09/2024
Idioma:
Español
CUPS es un sistema de impresión de código abierto basado en estándares, y `libcupsfilters` contiene el código de los filtros del antiguo paquete `cups-filters` como funciones de librería que se utilizarán para las tareas de conversión de formato de datos necesarias en las aplicaciones de impresora. La función `cfGetPrinterAttributes5` en `libcupsfilters` no desinfecta los atributos IPP devueltos desde un servidor IPP. Cuando estos atributos IPP se utilizan, por ejemplo, para generar un archivo PPD, esto puede provocar que se proporcionen datos controlados por un atacante al resto del sistema CUPS.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en CUPS (CVE-2024-47175)
Fecha de publicación:
26/09/2024
Idioma:
Español
CUPS es un sistema de impresión de código abierto basado en estándares, y `libppd` se puede utilizar para la compatibilidad con archivos PPD heredados. La función `libppd` `ppdCreatePPDFromIPP2` no desinfecta los atributos IPP al crear el búfer PPD. Cuando se utiliza en combinación con otras funciones como `cfGetPrinterAttributes5`, puede dar lugar a una entrada controlada por el usuario y, en última instancia, a la ejecución de código a través de Foomatic. Esta vulnerabilidad puede ser parte de una cadena de explotación que conduce a la ejecución remota de código (RCE), como se describe en CVE-2024-47176.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en openPetra v.2023.02 (CVE-2024-40506)
Fecha de publicación:
26/09/2024
Idioma:
Español
La vulnerabilidad de Cross-Site Scripting en openPetra v.2023.02 permite a un atacante remoto obtener información confidencial a través de la función serverMHospitality.asmx.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en openPetra v.2023.02 (CVE-2024-40507)
Fecha de publicación:
26/09/2024
Idioma:
Español
La vulnerabilidad de Cross-Site Scripting en openPetra v.2023.02 permite a un atacante remoto obtener información confidencial a través de la función serverMPersonnel.asmx.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en openPetra v.2023.02 (CVE-2024-40508)
Fecha de publicación:
26/09/2024
Idioma:
Español
La vulnerabilidad de Cross-Site Scripting en openPetra v.2023.02 permite a un atacante remoto obtener información confidencial a través de la función serverMConference.asmx.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en Projectworld Online Voting System 1.0 (CVE-2024-45986)
Fecha de publicación:
26/09/2024
Idioma:
Español
Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) Almacenado en Projectworld Online Voting System 1.0 que se produce cuando se registra una cuenta con un payload de JavaScript malicioso. El payload se almacena y se ejecuta posteriormente en las páginas voter.php y profile.php cada vez que se accede a la información de la cuenta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

Vulnerabilidad en Microsoft Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 y Windows Server 2022 (CVE-2024-6769)
Fecha de publicación:
26/09/2024
Idioma:
Español
Un secuestro de DLL causado por la reasignación de unidades combinado con un envenenamiento del caché de activación en Microsoft Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 y Windows Server 2022 permite que un atacante autenticado malintencionado pase de un proceso de integridad media a un proceso de integridad alta sin la intervención de un mensaje de UAC.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Vault Community Edition y en Vault Enterprise (CVE-2024-7594)
Fecha de publicación:
26/09/2024
Idioma:
Español
El motor de secretos SSH de Vault no requería que la lista valid_principals contuviera un valor de manera predeterminada. Si los campos valid_principals y default_user de la configuración del motor de secretos SSH no están configurados, un certificado SSH solicitado por un usuario autorizado al motor de secretos SSH de Vault podría usarse para autenticarse como cualquier usuario en el host. Se corrigió en Vault Community Edition 1.17.6 y en Vault Enterprise 1.17.6, 1.16.10 y 1.15.15.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/11/2025

Vulnerabilidad en Shields.io (CVE-2024-47180)
Fecha de publicación:
26/09/2024
Idioma:
Español
Shields.io es un servicio para insignias concisas, consistentes y legibles en formato SVG y raster. Shields.io y los usuarios que alojan por sí mismos su propia instancia de escudos usando la versión < `server-2024-09-25` son vulnerables a una vulnerabilidad de ejecución remota a través de la librería JSONPath utilizada por las insignias Dynamic JSON/Toml/Yaml. Esta vulnerabilidad permitiría a cualquier usuario con acceso hacer una solicitud a una URL en la instancia con la capacidad de ejecutar código mediante la creación de una expresión JSONPath maliciosa. Todos los usuarios que alojan por sí mismos una instancia son vulnerables. Este problema se solucionó en server-2024-09-25. Aquellos que siguen las versiones etiquetadas deben actualizar a `server-2024-09-25` o posterior. Aquellos que siguen la etiqueta continua en DockerHub, `docker pull shieldsio/shields:next` para actualizar a la última versión. Como workaround, bloquear el acceso a los endpoints `/badge/dynamic/json`, `/badge/dynamic/toml` y `/badge/dynamic/yaml` (por ejemplo: a través de un firewall o proxy inverso frente a su instancia) evitaría que se acceda a los endpoints explotables.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades