Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en XWiki Platform (CVE-2024-31996)
Fecha de publicación:
10/04/2024
Idioma:
Español
XWiki Platform es una plataforma wiki genérica. A partir de la versión 3.0.1 y anteriores a las versiones 4.10.19, 15.5.4 y 15.10-rc-1, la herramienta de escape HTML que se usa en XWiki no escapa a `{`, que, cuando se usa en ciertos lugares, permite la inyección de sintaxis XWiki y, por lo tanto, la ejecución remota de código. La vulnerabilidad se solucionó en XWiki 14.10.19, 15.5.5 y 15.9 RC1. Aparte de la actualización, no existe una workaround genérica. Sin embargo, reemplazar `$escapetool.html` por `$escapetool.xml` en los documentos XWiki soluciona la vulnerabilidad. En una instalación estándar de XWiki, los mantenedores sólo conocen el documento `Panels.PanelLayoutUpdate` que expone esta vulnerabilidad, por lo que parchear este documento es una workaround. Cualquier extensión podría exponer esta vulnerabilidad y, por lo tanto, también podría requerir parches.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/01/2025

Vulnerabilidad en Enpass Password Manager Desktop Client 6.9.2 (CVE-2024-26362)
Fecha de publicación:
10/04/2024
Idioma:
Español
Vulnerabilidad de inyección de HTML en Enpass Password Manager Desktop Client 6.9.2 para Windows y Linux permite a los atacantes ejecutar código HTML arbitrario mediante la creación de una nota manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2025

Vulnerabilidad en PX4 Autopilot v.1.14.0 (CVE-2024-29460)
Fecha de publicación:
10/04/2024
Idioma:
Español
Un problema en PX4 Autopilot v.1.14.0 permite a un atacante manipular la ruta de vuelo, lo que permite que el dron se estrelle a través de la ubicación del punto de inicio del componente Mission_block.cpp.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en XWiki Platform (CVE-2024-31985)
Fecha de publicación:
10/04/2024
Idioma:
Español
XWiki Platform es una plataforma wiki genérica. A partir de la versión 3.1 y anteriores a las versiones 4.10.20, 15.5.4 y 15.10-rc-1, es posible programar/activar/desprogramar trabajos existentes haciendo que un administrador visite la página del Programador de trabajos a través de una URL predecible, por ejemplo incrustando dicha URL en cualquier contenido como una imagen. La vulnerabilidad se solucionó en XWiki 14.10.19, 15.5.5 y 15.9. Como workaround, aplique manualmente el parche modificando la página `Scheduler.WebHome`.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2025

Vulnerabilidad en XWiki Platform (CVE-2024-31986)
Fecha de publicación:
10/04/2024
Idioma:
Español
XWiki Platform es una plataforma wiki genérica. A partir de la versión 3.1 y anteriores a las versiones 4.10.19, 15.5.4 y 15.10-rc-1, al crear un documento con una referencia documentada especialmente manipulada y un XObject `XWiki.SchedulerJobClass`, es posible ejecutar código arbitrario en el servidor cada vez que un administrador visita la página del programador o se hace referencia a la página del programador, por ejemplo, a través de una imagen en un comentario en una página de la wiki. La vulnerabilidad se solucionó en XWiki 14.10.19, 15.5.5 y 15.9. Como workaround, aplique el parche manualmente modificando la página `Scheduler.WebHome`.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2025

Vulnerabilidad en FreeIPA (CVE-2024-1481)
Fecha de publicación:
10/04/2024
Idioma:
Español
Se encontró una falla en FreeIPA. Este problema puede permitir a un atacante remoto crear una solicitud HTTP con parámetros que pueden interpretarse como argumentos de comando para kinit en el servidor FreeIPA, lo que puede provocar una denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en WWBN AVideo (CVE-2024-31819)
Fecha de publicación:
10/04/2024
Idioma:
Español
Un problema en WWBN AVideo v.12.4 a v.14.2 permite a un atacante remoto ejecutar código arbitrario a través del parámetro systemRootPath del componente submitIndex.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/06/2025

Vulnerabilidad en Soflyy Importe cualquier archivo XML o CSV a WordPress (CVE-2024-31939)
Fecha de publicación:
10/04/2024
Idioma:
Español
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Soflyy Importe cualquier archivo XML o CSV a WordPress. Este problema afecta la importación de cualquier archivo XML o CSV a WordPress: desde n/a hasta 3.7.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2024

Vulnerabilidad en XWiki Platform (CVE-2024-31981)
Fecha de publicación:
10/04/2024
Idioma:
Español
XWiki Platform es una plataforma wiki genérica. A partir de la versión 3.0.1 y anteriores a las versiones 4.10.20, 15.5.4 y 15.10-rc-1, la ejecución remota de código es posible mediante plantillas de exportación de PDF. Esta vulnerabilidad ha sido parcheada en XWiki 14.10.20, 15.5.4 y 15.10-rc-1. Si las plantillas PDF no se utilizan normalmente en la instancia, un administrador puede crear el documento "XWiki.PDFClass" y bloquear su edición, después de asegurarse de que no contiene un atributo "estilo". De lo contrario, no se conocen workarounds aparte de la actualización.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2025

Vulnerabilidad en XWiki Platform (CVE-2024-31982)
Fecha de publicación:
10/04/2024
Idioma:
Español
XWiki Platform es una plataforma wiki genérica. A partir de la versión 2.4-milestone-1 y anteriores a las versiones 4.10.20, 15.5.4 y 15.10-rc-1, la búsqueda en la base de datos de XWiki permite la ejecución remota de código a través del texto de búsqueda. Esto permite la ejecución remota de código para cualquier visitante de un wiki público o usuario de un wiki cerrado, ya que la búsqueda en la base de datos es accesible de forma predeterminada para todos los usuarios. Esto afecta la confidencialidad, integridad y disponibilidad de toda la instalación de XWiki. Esta vulnerabilidad ha sido parcheada en XWiki 14.10.20, 15.5.4 y 15.10RC1. Como workaround, se puede aplicar manualmente el parche a la página "Main.DatabaseSearch". Como workaround, a menos que los usuarios utilicen explícitamente la búsqueda en la base de datos, esta página se puede eliminar ya que no es la interfaz de búsqueda predeterminada de XWiki.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/09/2025

Vulnerabilidad en XWiki Platform (CVE-2024-31983)
Fecha de publicación:
10/04/2024
Idioma:
Español
XWiki Platform es una plataforma wiki genérica. En los wikis multilingües, las traducciones pueden ser editadas por cualquier usuario que tenga derechos de edición, eludiendo los derechos que normalmente se requieren para la autoría de traducciones (derecho de script para traducciones de alcance de usuario, administrador de wiki para traducciones en el wiki). A partir de la versión 4.3-milestone-2 y anteriores a las versiones 4.10.20, 15.5.4 y 15.10-rc-1, esto se puede aprovechar para la ejecución remota de código si el valor de traducción no se escapa correctamente cuando se utiliza. Esto ha sido parcheado en XWiki 14.10.20, 15.5.4 y 15.10RC1. Como workaround, se pueden restringir los derechos de edición de documentos que contienen traducciones.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2025

Vulnerabilidad en XWiki Platform (CVE-2024-31984)
Fecha de publicación:
10/04/2024
Idioma:
Español
XWiki Platform es una plataforma wiki genérica. A partir de la versión 7.2-rc-1 y anteriores a las versiones 4.10.20, 15.5.4 y 15.10-rc-1, al crear un documento con un título especialmente manipulado, es posible activar la ejecución remota de código en (Solr- basado) búsqueda en XWiki. Esto permite que cualquier usuario que pueda editar el título de un espacio (todos los usuarios de forma predeterminada) ejecute cualquier código Groovy en la instalación de XWiki que comprometa la confidencialidad, integridad y disponibilidad de toda la instalación de XWiki. Esto ha sido parcheado en XWiki 14.10.20, 15.5.4 y 15.10 RC1. Como workaround, aplique manualmente el parche a la página `Main.SolrSpaceFacet`.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2025
Suscribirse a Vulnerabilidades