Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SourceCodester Laundry Management System 1.0 (CVE-2024-3445)
Fecha de publicación:
08/04/2024
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Laundry Management System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta a un código desconocido del archivo /karyawan/laporan_filter. La manipulación del argumento data_karyawan conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259702 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/01/2025

Vulnerabilidad en Netentsec NS-ASG Application Security Gateway 6.3 (CVE-2024-3455)
Fecha de publicación:
08/04/2024
Idioma:
Español
Se encontró una vulnerabilidad en Netentsec NS-ASG Application Security Gateway 6.3. Ha sido declarada crítica. Una función desconocida del archivo /admin/add_postlogin.php es afectada por esta vulnerabilidad. La manipulación del argumento SingleLoginId conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259711.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/02/2025

Vulnerabilidad en GPT Academic (CVE-2024-31224)
Fecha de publicación:
08/04/2024
Idioma:
Español
GPT Academic proporciona interfaces interactivas para modelos de lenguaje grandes. Se encontró una vulnerabilidad en las versiones 3.64 a 3.73 de gpt_academic. El servidor deserializa datos no confiables del cliente, lo que puede poner en riesgo la ejecución remota de código. Cualquier dispositivo que exponga el servicio GPT Academic a Internet es vulnerable. La versión 3.74 contiene un parche para el problema. No se conocen workarounds aparte de actualizar a una versión parcheada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/11/2025

Vulnerabilidad en Redon Hub (CVE-2024-31442)
Fecha de publicación:
08/04/2024
Idioma:
Español
Redon Hub es un robot de entrega de productos de Roblox, también conocido como Hub. En todos los centros anteriores a la versión 1.0.2, todos los usuarios pueden ejecutar todos los comandos, incluidos los comandos de administrador. Esto permite a los usuarios recibir productos de forma gratuita y eliminar/crear/actualizar productos/etiquetas/etc. El único comando no afectado es `/products admin clear`, ya que ya estaba programado solo para propietarios de bots. Todos los usuarios deben actualizar a la versión 1.0.2 para recibir un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/01/2026

Vulnerabilidad en Sunshine (CVE-2024-31221)
Fecha de publicación:
08/04/2024
Idioma:
Español
Sunshine es un anfitrión de transmisión de juegos autohospedado para Moonlight. A partir de la versión 0.10.0 y antes de la versión 0.23.0, después de desvincular todos los dispositivos en la interfaz de usuario web y luego vincular solo un dispositivo, todos los dispositivos anteriores se vincularán temporalmente. La versión 0.23.0 contiene un parche para el problema. Como workaround, reiniciar Sunshine después de desvincular todos los dispositivos previene la vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2025

Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-3442)
Fecha de publicación:
08/04/2024
Idioma:
Español
Una vulnerabilidad ha sido encontrada en SourceCodester Prison Management System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /Employee/delete_leave.php. La manipulación conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259695.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2025

Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-3443)
Fecha de publicación:
08/04/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en SourceCodester Prison Management System 1.0 y clasificada como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo /Employee/apply_leave.php. La manipulación del argumento txtstart_date/txtend_date conduce a cross site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259696.
Gravedad CVSS v3.1: BAJA
Última modificación:
10/02/2025

Vulnerabilidad en Saleor (CVE-2024-31205)
Fecha de publicación:
08/04/2024
Idioma:
Español
Saleor es una plataforma de comercio electrónico. A partir de la versión 3.10.0 y anteriores a las versiones 3.14.64, 3.15.39, 3.16.39, 3.17.35, 3.18.31 y 3.19.19, un atacante puede omitir la validación de cross-set request forgery (CSRF) al llamar. actualizar la mutación del token con una cadena vacía. Cuando un usuario proporciona una cadena vacía en la mutación `refreshToken`, mientras el token persiste en la cookie `JWT_REFRESH_TOKEN_COOKIE_NAME`, la aplicación omite la validación contra el token CSRF y devuelve un token de acceso válido. Las versiones 3.14.64, 3.15.39, 3.16.39, 3.17.35, 3.18.31 y 3.19.19 contienen un parche para el problema. Como workaround, se puede reemplazar `saleor.graphql.account.mutations.authentication.refresh_token.py.get_refresh_token`. Esto solucionará el problema, pero tenga en cuenta que devuelve `JWT_MISSING_TOKEN` en lugar de `JWT_INVALID_TOKEN`.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/01/2026

Vulnerabilidad en Wangshen SecGate (CVE-2024-3444)
Fecha de publicación:
08/04/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en Wangshen SecGate 3600 hasta 20240408 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /?g=net_pro_keyword_import_save. La manipulación del argumento reqfile conduce a una carga sin restricciones. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259701.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en DataEase (CVE-2024-30269)
Fecha de publicación:
08/04/2024
Idioma:
Español
DataEase, una herramienta de análisis y visualización de datos de código abierto, tiene una vulnerabilidad de exposición de información de configuración de base de datos anterior a la versión 2.5.0. Visitar la ruta `/de2api/engine/getEngine;.js` a través de un navegador revela que se devuelve la configuración de la base de datos de la plataforma. La vulnerabilidad se ha solucionado en v2.5.0. No hay workarounds disponibles aparte de la actualización.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2025

Vulnerabilidad en OFPMatch (CVE-2024-28732)
Fecha de publicación:
08/04/2024
Idioma:
Español
Se descubrió un problema en OFPMatch en parser.py en Faucet SDN Ryu versión 4.34, que permite a atacantes remotos provocar una denegación de servicio (DoS) (bucle infinito).
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2025

Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-3440)
Fecha de publicación:
08/04/2024
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Prison Management System 1.0. Ha sido declarada crítica. Una función desconocida del archivo /Admin/edit_profile.php es afectada por esta vulnerabilidad. La manipulación conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259693.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2025
Suscribirse a Vulnerabilidades