Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Automattic WordPress (CVE-2024-32111)
Fecha de publicación:
25/06/2024
Idioma:
Español
La limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido ("Path Traversal") en Automattic WordPress permite un Path Traversal relativo. Este problema afecta a WordPress: de 6.5 a 6.5.4, de 6.4 a 6.4.4, de 6.3 a 6.3.4, de 6.2 a 6.2.5, de 6.1 a 6.1.6, de 6.0 a 6.0.8, de 5.9 a 5.9.9, de 5.8 a 5.8.9, de 5.7 a 5.7.11, de 5.6 a 5.6.13, de 5.5 al 5.5.14, del 5.4 al 5.4.15, del 5.3 al 5.3.17, del 5.2 al 5.2.20, del 5.1 al 5.1.18, del 5.0 al 5.0.21, del 4.9 al 4.9.25, del 4.8 hasta 4.8.24, desde 4.7 hasta 4.7.28, desde 4.6 hasta 4.6.28, desde 4.5 hasta 4.5.31, desde 4.4 hasta 4.4.32, desde 4.3 hasta 4.3.33, desde 4.2 hasta 4.2.37, desde 4.1 hasta 4.1.40.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/06/2024

Vulnerabilidad en VPN Tp-Link ER7206 Omada Gigabit (CVE-2024-21827)
Fecha de publicación:
25/06/2024
Idioma:
Español
Existe una vulnerabilidad de código de depuración sobrante en la funcionalidad de depuración cli_server del enrutador VPN Tp-Link ER7206 Omada Gigabit 1.4.1 Build 20240117 Rel.57421. Una serie de solicitudes de red especialmente manipuladas pueden provocar la ejecución de comandos arbitrarios. Un atacante puede enviar una secuencia de solicitudes para desencadenar esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en Conduit (CVE-2024-6301)
Fecha de publicación:
25/06/2024
Idioma:
Español
Falta de validación de origen en la API de federación en Conduit, lo que permite que cualquier servidor remoto se haga pasar por cualquier usuario de cualquier servidor en la mayoría de las EDU.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/09/2024

Vulnerabilidad en Conduit (CVE-2024-6302)
Fecha de publicación:
25/06/2024
Idioma:
Español
Falta de verificación de privilegios al procesar una redacción en las versiones de Conduit v0.6.0 e inferiores, lo que permite a un usuario local redactar cualquier mensaje de los usuarios en el mismo servidor, dado que pueden enviar eventos de redacción.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/09/2024

Vulnerabilidad en Conduit (CVE-2024-6303)
Fecha de publicación:
25/06/2024
Idioma:
Español
Falta autorización en la API Cliente-Servidor en Conduit <=0.7.0, lo que permite eliminar cualquier alias y agregarlo a otra sala, que se puede usar para escalar privilegios moviendo el alias #admins a una sala que ellos controlan, lo que les permite para ejecutar comandos que restablecen contraseñas, firman json con la clave del servidor, desactivan usuarios y más
Gravedad CVSS v3.1: ALTA
Última modificación:
20/09/2024

Vulnerabilidad en Devolutions Server (CVE-2024-4846)
Fecha de publicación:
25/06/2024
Idioma:
Español
La omisión de autenticación en la función 2FA en Devolutions Server 2024.1.14.0 y versiones anteriores permite a un atacante autenticado autenticarse ante otro usuario sin que se le solicite la 2FA a través de otra pestaña del navegador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en Conduit (CVE-2024-6299)
Fecha de publicación:
25/06/2024
Idioma:
Español
Falta de consideración de la caducidad de la clave al validar firmas en Conduit, lo que permite a un atacante que ha comprometido una clave caducada falsificar solicitudes como servidor remoto, así como PDU con marcas de tiempo posteriores a la fecha de caducidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
20/09/2024

Vulnerabilidad en Conduit (CVE-2024-6300)
Fecha de publicación:
25/06/2024
Idioma:
Español
Limpieza incompleta al realizar redacciones en Conduit, lo que permite a un atacante verificar si ciertas cadenas estaban presentes en la PDU antes de la redacción
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/09/2024

Vulnerabilidad en LibreOffice (CVE-2024-5261)
Fecha de publicación:
25/06/2024
Idioma:
Español
Vulnerabilidad de validación de certificado incorrecta en el modo "LibreOfficeKit" de LibreOffice deshabilita la verificación de certificación TLS. LibreOfficeKit se puede utilizar para acceder a la funcionalidad de LibreOffice a través de C/C++. Normalmente, esto lo utilizan componentes de terceros para reutilizar LibreOffice como librería para convertir, ver o interactuar con documentos. LibreOffice utiliza internamente "curl" para recuperar recursos remotos, como imágenes alojadas en servidores web. En las versiones afectadas de LibreOffice, cuando se usaba solo en modo LibreOfficeKit, la verificación de certificación TLS de curl estaba deshabilitada (CURLOPT_SSL_VERIFYPEER de falso). En las versiones fijas, curl opera en modo LibreOfficeKit de la misma manera que en el modo estándar con CURLOPT_SSL_VERIFYPEER de verdadero. Este problema afecta a LibreOffice antes de la versión 24.2.4.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
23/12/2025

Vulnerabilidad en Automattic WordPress (CVE-2024-31111)
Fecha de publicación:
25/06/2024
Idioma:
Español
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Automattic WordPress permite almacenar XSS. Este problema afecta a WordPress: de 6.5 a 6.5.4, de 6.4 a 6.4.4, de 6.3 a 6.3. 4, del 6.2 al 6.2.5, del 6.1 al 6.1.6, del 6.0 al 6.0.8, del 5.9 al 5.9.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/06/2024

Vulnerabilidad en Checkmk (CVE-2024-28831)
Fecha de publicación:
25/06/2024
Idioma:
Español
El XSS almacenado en algunas ventanas emergentes de confirmación en Checkmk antes de las versiones 2.3.0p7 y 2.2.0p28 permite a los usuarios de Checkmk ejecutar scripts arbitrarios inyectando elementos HTML en algunos campos de entrada del usuario que se muestran en una ventana emergente de confirmación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2024

Vulnerabilidad en Checkmk (CVE-2024-28832)
Fecha de publicación:
25/06/2024
Idioma:
Español
XSS almacenado en la página Informe de fallos en Checkmk antes de las versiones 2.3.0p7, 2.2.0p28, 2.1.0p45 y 2.0.0 (EOL) permite a los usuarios con permiso para cambiar la configuración global para ejecutar scripts arbitrarios inyectando elementos HTML en la URL del informe de fallos en la configuración global.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2024
Suscribirse a Vulnerabilidades