Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ZimaOS (CVE-2024-49357)
Fecha de publicación:
24/10/2024
Idioma:
Español
ZimaOS es una bifurcación de CasaOS, un sistema operativo para dispositivos Zima y sistemas x86-64 con UEFI. En la versión 1.2.4 y todas las versiones anteriores, los endpoints de API en ZimaOS, como `http:///v1/users/image?path=/var/lib/casaos/1/app_order.json` y `http:///v1/users/image?path=/var/lib/casaos/1/system.json`, exponen datos confidenciales como aplicaciones instaladas e información del sistema sin requerir ninguna autenticación o autorización. Los atacantes pueden aprovechar esta fuga de datos confidenciales para obtener conocimiento detallado sobre la configuración del sistema, las aplicaciones instaladas y otra información crítica. Al momento de la publicación, no hay versiones parcheadas conocidas disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/09/2025

Vulnerabilidad en Money Manager EX WebApp (CVE-2024-41617)
Fecha de publicación:
24/10/2024
Idioma:
Español
Money Manager EX WebApp (web-money-manager-ex) 1.2.2 es vulnerable a un control de acceso incorrecto. La función `redirect_if_not_loggedin` en `functions_security.php` no puede finalizar la ejecución del script después de redirigir a usuarios no autenticados. Esta falla permite que un atacante no autenticado cargue archivos arbitrarios, lo que puede provocar una ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Money Manager EX WebApp (CVE-2024-41618)
Fecha de publicación:
24/10/2024
Idioma:
Español
Money Manager EX WebApp (web-money-manager-ex) 1.2.2 es vulnerable a la inyección SQL en la función `transaction_delete_group`. La vulnerabilidad se debe a una desinfección incorrecta de la entrada del usuario en el parámetro `TrDeleteArr`, que se incorpora directamente a una consulta SQL.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en WhatsUp Gold (CVE-2024-7763)
Fecha de publicación:
24/10/2024
Idioma:
Español
En las versiones de WhatsUp Gold lanzadas antes de 2024.0.0, existe un problema de omisión de autenticación que permite a un atacante obtener credenciales de usuario cifradas.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/10/2024

Vulnerabilidad en Assimp (CVE-2024-48424)
Fecha de publicación:
24/10/2024
Idioma:
Español
Se ha identificado una vulnerabilidad de desbordamiento de búfer de montón en la función OpenDDLParser::parseStructure dentro de la librería Assimp, específicamente durante el procesamiento de archivos OpenGEX.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en Assimp (CVE-2024-48425)
Fecha de publicación:
24/10/2024
Idioma:
Español
Se detectó una falla de segmentación (SEGV) en la función Assimp::SplitLargeMeshesProcess_Triangle::UpdateNode dentro de la librería Assimp durante una prueba de fuzz con AddressSanitizer. El bloqueo se produce debido a una violación de acceso de lectura en la dirección 0x000000000460, que apunta a la página cero, lo que indica una desreferencia de puntero nula o no válida.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en Assimp (CVE-2024-48426)
Fecha de publicación:
24/10/2024
Idioma:
Español
Se detectó una falla de segmentación (SEGV) en la función SortByPTypeProcess::Execute de la librería Assimp durante una prueba de fuzz con AddressSanitizer. El bloqueo se produjo debido a un acceso de lectura a una dirección de memoria no válida (0x1000c9714971).
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2025

Vulnerabilidad en ZimaOS (CVE-2024-48931)
Fecha de publicación:
24/10/2024
Idioma:
Español
ZimaOS es una bifurcación de CasaOS, un sistema operativo para dispositivos Zima y sistemas x86-64 con UEFI. En la versión 1.2.4 y todas las versiones anteriores, el endpoint de la API de ZimaOS `http:///v3/file?token=&files=` es vulnerable a la lectura arbitraria de archivos debido a una validación de entrada incorrecta. Al manipular el parámetro `files`, los usuarios autenticados pueden leer archivos confidenciales del sistema, incluido `/etc/shadow`, que contiene hashes de contraseñas para todos los usuarios. Esta vulnerabilidad expone datos críticos del sistema y plantea un alto riesgo de escalada de privilegios o compromiso del sistema. La vulnerabilidad se produce porque el endpoint de la API no valida ni restringe las rutas de archivo proporcionadas a través del parámetro `files`. Un atacante puede explotar esto manipulando la ruta del archivo para acceder a archivos confidenciales fuera del directorio previsto. Al momento de la publicación, no hay versiones parcheadas conocidas disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/11/2024

Vulnerabilidad en pure-ftpd before 1.0.52 (CVE-2024-48208)
Fecha de publicación:
24/10/2024
Idioma:
Español
pure-ftpd before 1.0.52 es vulnerable a desbordamiento de búfer. Hay una lectura fuera de los límites en la función domlsd() del archivo ls.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/09/2025

Vulnerabilidad en Assimp (CVE-2024-48423)
Fecha de publicación:
24/10/2024
Idioma:
Español
Un problema en assimp v.5.4.3 permite a un atacante local ejecutar código arbitrario a través de la función CallbackToLogRedirector dentro de la librería Assimp.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2024

Vulnerabilidad en ZimaOS (CVE-2024-48932)
Fecha de publicación:
24/10/2024
Idioma:
Español
ZimaOS es una bifurcación de CasaOS, un sistema operativo para dispositivos Zima y sistemas x86-64 con UEFI. En la versión 1.2.4 y todas las versiones anteriores, el endpoint de la API `http:///v1/users/name` permite a los usuarios no autenticados acceder a información confidencial, como nombres de usuario, sin ninguna autorización. Esta vulnerabilidad podría ser explotada por un atacante para enumerar nombres de usuario y utilizarlos para otros ataques, como campañas de fuerza bruta o phishing. Al momento de la publicación, no se conocen versiones parcheadas disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/11/2025

Vulnerabilidad en OpenRefine (CVE-2024-47882)
Fecha de publicación:
24/10/2024
Idioma:
Español
OpenRefine es una herramienta gratuita de código abierto para trabajar con datos desordenados. Antes de la versión 3.8.3, la página de error integrada "¡Algo salió mal!" incluye el mensaje de excepción y el seguimiento de la excepción sin etiquetas HTML de escape, lo que permite la inyección en la página si un atacante puede producir de forma fiable un error con un mensaje influenciado por el atacante. Parece que la única forma de llegar a este código en OpenRefine es que un atacante convenza de algún modo a una víctima de que importe un archivo malicioso, lo que puede ser difícil. Sin embargo, las extensiones fuera del árbol pueden añadir sus propias llamadas a `respondWithErrorPage`. La versión 3.8.3 tiene una solución para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2024
Suscribirse a Vulnerabilidades