Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en NVIDIA nvTIFF (CVE-2024-0080)
Fecha de publicación:
05/04/2024
Idioma:
Español
La librería NVIDIA nvTIFF para Windows y Linux contiene una vulnerabilidad en la que una validación de entrada incorrecta podría permitir a un atacante utilizar un archivo de entrada especialmente manipulado. Una explotación exitosa de esta vulnerabilidad podría provocar una denegación parcial de servicio.
Gravedad CVSS v3.1: BAJA
Última modificación:
08/04/2024

Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3348)
Fecha de publicación:
05/04/2024
Idioma:
Español
Una vulnerabilidad ha sido encontrada en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 y clasificada como crítica. Una función desconocida del archivo booking/index.php es afectada por esta vulnerabilidad. La manipulación del argumento log_email/log_pword conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259452.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2025

Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3349)
Fecha de publicación:
05/04/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 y clasificada como crítica. Una función desconocida del archivo admin/login.php es afectada por esta vulnerabilidad. La manipulación del argumento email conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259453.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2025

Vulnerabilidad en SourceCodester Airline Ticket Reservation System 1.0 (CVE-2024-3347)
Fecha de publicación:
05/04/2024
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Airline Ticket Reservation System 1.0. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo enable_jet_details_form_handler.php. La manipulación del argumento jet_id conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259451.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/02/2025

Vulnerabilidad en Google Devices (CVE-2023-48426)
Fecha de publicación:
05/04/2024
Idioma:
Español
Error de u-boot que permite el shell u-boot y la interrupción a través de UART
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/07/2025

Vulnerabilidad en Byzro Smart S80 (CVE-2024-3346)
Fecha de publicación:
05/04/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en Byzro Smart S80 hasta 20240328. Fue declarada crítica. Esta vulnerabilidad afecta a un código desconocido del archivo /log/webmailattach.php. La manipulación del argumento mail_file_path conduce a la inyección de comandos del sistema operativo. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259450 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramenre con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2024

Vulnerabilidad en Sunshine (CVE-2024-31220)
Fecha de publicación:
05/04/2024
Idioma:
Español
Sunshine es un anfitrión de transmisión de juegos autohospedado para Moonlight. A partir de la versión 0.16.0 y anteriores a la versión 0.18.0, un atacante puede leer de forma remota archivos arbitrarios sin autenticación debido a una vulnerabilidad de path traversal. Los usuarios que expusieron la interfaz de usuario web de configuración de Sunshine fuera de localhost pueden verse afectados, dependiendo de la configuración del firewall. Para explotar la vulnerabilidad, el atacante podría realizar una solicitud http/s al endpoint `node_modules` si el usuario expuso el servidor web de configuración Sunshine a Internet o el atacante está en la LAN. La versión 0.18.0 contiene un parche para este problema. Como workaround, se puede bloquear el acceso a Sunshine mediante un firewall.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/09/2025

Vulnerabilidad en LLVM (CVE-2024-31852)
Fecha de publicación:
05/04/2024
Idioma:
Español
LLVM anterior a 18.1.3 genera código en el que el registro LR se puede sobrescribir sin que los datos se guarden en la pila y, por lo tanto, a veces puede haber un error explotable en el flujo de control. Esto afecta el backend de ARM y se puede demostrar con Clang. NOTA: la perspectiva del proveedor es "no tenemos fuertes objeciones para que se cree un CVE... Parece que la probabilidad de que esta mala compilación permita un exploit sigue siendo muy baja, porque la mala compilación que resulta en este dispositivo JOP es tal que "Es más probable que la función falle en la mayoría de las entradas válidas de la función. Por lo tanto, si esta función está cubierta por alguna prueba, lo más probable es que se descubra la mala compilación antes de que el binario se envíe a producción".
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2024

Vulnerabilidad en InstantCMS (CVE-2024-31213)
Fecha de publicación:
05/04/2024
Idioma:
Español
InstantCMS es un sistema de gestión de contenidos gratuito y de código abierto. Se encontró una redirección abierta en la versión 2.16.2 de la aplicación ICMS2 al ser redirigida después de modificar el propio perfil de usuario. Un atacante podría engañar a una víctima para que visite su aplicación web, pensando que todavía está presente en la aplicación ICMS2. Luego podrían alojar un sitio web que diga "Para actualizar su perfil, ingrese su contraseña", en el cual el usuario puede escribir su contraseña y enviársela al atacante. Al momento de la publicación, no hay una versión parcheada disponible.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/01/2025

Vulnerabilidad en Webhood (CVE-2024-31218)
Fecha de publicación:
05/04/2024
Idioma:
Español
Webhood es un escáner de URL autohospedado que se utiliza para analizar sitios maliciosos y de phishing. Las imágenes del contenedor backend de Webhood en las versiones 0.9.0 y anteriores están sujetas a una vulnerabilidad de autenticación faltante para funciones críticas. Esta vulnerabilidad permite que un atacante no autenticado envíe una solicitud HTTP a la API de administración de la base de datos (Pocketbase) para crear una cuenta de administrador. La API de administración de Pocketbase no verifica la autenticación/autorización al crear una cuenta de administrador cuando no se han agregado cuentas de administrador. En su implementación predeterminada, Webhood no crea una cuenta de administrador de base de datos. Por lo tanto, a menos que los usuarios hayan creado manualmente una cuenta de administrador en la base de datos, no existirá una cuenta de administrador en la implementación y la implementación es vulnerable. Las versiones a partir de 0.9.1 están parcheadas. El parche crea una cuenta de administrador generada aleatoriamente si aún no se han creado cuentas de administrador, es decir, la vulnerabilidad se puede explotar en la implementación. Como workaround, los usuarios pueden deshabilitar completamente el acceso a la ruta URL que comienza con `/api/admins`. Con esta workaround, la vulnerabilidad no se puede explotar a través de la red.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/04/2024

Vulnerabilidad en Wi-Fi SpaceX Starlink Gen 2 (CVE-2023-49965)
Fecha de publicación:
05/04/2024
Idioma:
Español
El router Wi-Fi SpaceX Starlink Gen 2 anterior a 2023.48.0 permite XSS a través de los parámetros ssid y contraseña en la página de configuración.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/03/2025

Vulnerabilidad en Squelch Tabs and Accordions Shortcodes para WordPress (CVE-2024-2499)
Fecha de publicación:
05/04/2024
Idioma:
Español
El complemento Squelch Tabs and Accordions Shortcodes para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código abreviado 'acordeones' del complemento en todas las versiones hasta la 0.4.3 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2024
Suscribirse a Vulnerabilidades