Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-5173)
Fecha de publicación:
26/06/2024
Idioma:
Español
El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración del widget del reproductor de video en todas las versiones hasta la 2.5.5 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2025

Vulnerabilidad en October (CVE-2024-24764)
Fecha de publicación:
26/06/2024
Idioma:
Español
October es una plataforma CMS autohospedada basada en Laravel PHP Framework. Este problema afecta a los administradores autenticados que pueden ser redirigidos a una URL que no es de confianza mediante el esquema de PageFinder. El solucionador del esquema de enlace del buscador de páginas (`october://`) permitía enlaces externos, por lo que permitía una redirección abierta fuera del alcance del host activo. Esta vulnerabilidad ha sido parcheada en la versión 3.5.15.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2024

Vulnerabilidad en Brocade Fabric OS (CVE-2024-5460)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una vulnerabilidad en la configuración predeterminada de la función del Protocolo simple de administración de red (SNMP) de las versiones de Brocade Fabric OS anteriores a v9.0.0 podría permitir que un atacante remoto autenticado lea datos de un dispositivo afectado a través de SNMP. La vulnerabilidad se debe a una cadena de comunidad predeterminada codificada en el archivo de configuración del demonio SNMP. Un atacante podría aprovechar esta vulnerabilidad utilizando la cadena de comunidad estática en las consultas SNMP versión 1 a un dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2025

Vulnerabilidad en Brocade Fabric OS (CVE-2024-29953)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una vulnerabilidad en la interfaz web en Brocade Fabric OS anterior a v9.2.1, v9.2.0b y v9.1.1d imprime contraseñas de sesión codificadas en el almacenamiento de sesiones para plataformas Virtual Fabric. Esto podría permitir que un usuario autenticado vea las contraseñas codificadas de sesión de otros usuarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

Vulnerabilidad en Brocade Fabric OS (CVE-2024-29954)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una vulnerabilidad en una API de administración de contraseñas en las versiones de Brocade Fabric OS anteriores a v9.2.1, v9.2.0b, v9.1.1d y v8.2.3e imprime información confidencial en archivos de registro. Esto podría permitir a un usuario autenticado ver las contraseñas del servidor para protocolos como scp y sftp. Detalle. Cuando el comando de descarga de firmware se ingresa incorrectamente o apunta a un archivo erróneo, el registro de descarga de firmware captura el comando fallido, incluida cualquier contraseña ingresada en la línea de comando.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/08/2024

Vulnerabilidad en DSpace (CVE-2024-38364)
Fecha de publicación:
26/06/2024
Idioma:
Español
DSpace es un software de código abierto, una aplicación de repositorio llave en mano utilizada por más de 2000 organizaciones e instituciones en todo el mundo para brindar acceso duradero a recursos digitales. En DSpace 7.0 a 7.6.1, cuando se descarga un Bitstream HTML, XML o JavaScript, el navegador del usuario puede ejecutar cualquier JavaScript incrustado. Si ese JavaScript incrustado es malicioso, existe el riesgo de sufrir un ataque XSS. Esta vulnerabilidad ha sido parcheada en la versión 7.6.2.
Gravedad CVSS v3.1: BAJA
Última modificación:
26/06/2024

Vulnerabilidad en pdoc (CVE-2024-38526)
Fecha de publicación:
26/06/2024
Idioma:
Español
pdoc proporciona documentación API para proyectos Python. Documentación generada con `pdoc --math` vinculada a archivos JavaScript de polyfill.io. El CDN polyfill.io se vendió y ahora contiene código malicioso. Este problema se solucionó en pdoc 14.5.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/07/2024

Vulnerabilidad en WP Cookie Consent para WordPress (CVE-2024-4869)
Fecha de publicación:
26/06/2024
Idioma:
Español
El complemento WP Cookie Consent (para GDPR, CCPA y ePrivacy) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del encabezado 'Client-IP' en todas las versiones hasta la 3.2.0 incluida debido a una sanitización insuficiente de la entrada y un escape de salida. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2025

Vulnerabilidad en Safe Exam Browser para Windows (CVE-2024-37742)
Fecha de publicación:
25/06/2024
Idioma:
Español
Un problema en Safe Exam Browser para Windows anterior a 3.6 permite a un atacante compartir datos del portapapeles entre el modo quiosco SEB y el sistema subyacente, comprometiendo la integridad del examen, lo que puede llevar a la ejecución de código arbitrario y a la obtención de información confidencial a través del componente de administración del portapapeles.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/08/2024

Vulnerabilidad en Phloc Webscopes 7.0.0 (CVE-2024-6060)
Fecha de publicación:
25/06/2024
Idioma:
Español
Una vulnerabilidad de divulgación de información en Phloc Webscopes 7.0.0 permite a atacantes locales con acceso a los archivos de registro ver solicitudes HTTP registradas que contienen contraseñas de usuario u otra información confidencial.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
30/12/2025

Vulnerabilidad en HCL Connections (CVE-2024-30112)
Fecha de publicación:
25/06/2024
Idioma:
Español
HCL Connections es vulnerable a un ataque de Cross-Site Scripting en el que un atacante puede aprovechar este problema para ejecutar código de script arbitrario en el navegador de un usuario desprevenido, lo que lleva a la ejecución de código de scripts maliciosos. Esto puede permitir al atacante robar credenciales de autenticación basadas en cookies, acceder a la cuenta del usuario y luego lanzar otros ataques.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2025

Vulnerabilidad en Emby Media Server Emby Media Server (CVE-2024-30931)
Fecha de publicación:
25/06/2024
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting almacenado en Emby Media Server Emby Media Server 4.8.3.0 permite a un atacante remoto escalar privilegios a través del componente Notifications.html.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2024
Suscribirse a Vulnerabilidades