Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en MAXON CINEMA 4D R2024.2.0 (CVE-2024-25423)
Fecha de publicación:
22/02/2024
Idioma:
Español
Un problema en MAXON CINEMA 4D R2024.2.0 permite que un atacante local ejecute código arbitrario a través de un archivo c4d_base.xdl64 manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/05/2025

Vulnerabilidad en GitLab EE (CVE-2023-4895)
Fecha de publicación:
22/02/2024
Idioma:
Español
Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 12.0 a 16.7.6, todas las versiones desde 16.8 anteriores a 16.8.3, todas las versiones desde 16.9 anteriores a 16.9.1. Esta vulnerabilidad permite omitir la configuración de 'restricción de IP de grupo' para acceder a los detalles del entorno de los proyectos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2024

Vulnerabilidad en GitLab CE/EE (CVE-2024-1451)
Fecha de publicación:
22/02/2024
Idioma:
Español
Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 16.9 hasta la 16.9.1. un payload manipulado y agregado a la página de perfil del usuario podría generar un XSS almacenado en el lado del cliente, lo que permitiría a los atacantes realizar acciones arbitrarias en nombre de las víctimas".
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2024

Vulnerabilidad en GitLab CE/EE (CVE-2024-1525)
Fecha de publicación:
22/02/2024
Idioma:
Español
Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde 16.1 anteriores a 16.7.6, todas las versiones desde 16.8 anteriores a 16.8.3, todas las versiones desde 16.9 anteriores a 16.9.1. En algunas condiciones especializadas, un usuario de LDAP puede restablecer su contraseña utilizando su dirección de correo electrónico secundaria verificada e iniciar sesión mediante autenticación directa con la contraseña restablecida, sin pasar por LDAP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2024

Vulnerabilidad en Autodesk AutoCAD (CVE-2024-23120)
Fecha de publicación:
22/02/2024
Idioma:
Español
Un archivo STP creado con fines malintencionados cuando se analiza en ASMIMPORT228A.dll a través de Autodesk AutoCAD puede forzar una escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, escribir datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2025

Vulnerabilidad en GitLab EE (CVE-2023-6477)
Fecha de publicación:
22/02/2024
Idioma:
Español
Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 16.5 anteriores a 16.7.6, todas las versiones desde 16.8 anteriores a 16.8.3, todas las versiones desde 16.9 anteriores a 16.9.1. Cuando a un usuario se le asigna una función personalizada con permiso admin_group_member, es posible que pueda convertir un grupo, otros miembros o ellos mismos en propietarios de ese grupo, lo que puede llevar a una escalada de privilegios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2024

Vulnerabilidad en GitLab (CVE-2024-0410)
Fecha de publicación:
22/02/2024
Idioma:
Español
Se descubrió una vulnerabilidad de omisión de autorización en GitLab que afecta a las versiones 15.1 anteriores a 16.7.6, 16.8 anteriores a 16.8.3 y 16.9 anteriores a 16.9.1. Un desarrollador podría eludir las aprobaciones de CODEOWNERS creando un conflicto de fusión.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2024

Vulnerabilidad en Autodesk AutoCAD (CVE-2024-0446)
Fecha de publicación:
22/02/2024
Idioma:
Español
Un archivo STP, CATPART o MODEL creado con fines malintencionados cuando se analiza en ASMKERN228A.dll a través de Autodesk AutoCAD puede forzar una escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, escribir datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2025

Vulnerabilidad en GitLab EE (CVE-2024-0861)
Fecha de publicación:
22/02/2024
Idioma:
Español
Se ha descubierto un problema en GitLab EE que afecta a todas las versiones desde 16.4 anteriores a 16.7.6, todas las versiones desde 16.8 anteriores a 16.8.3, todas las versiones desde 16.9 anteriores a 16.9.1. Los usuarios con el rol "Invitado" pueden cambiar la configuración de "Proyectos de panel personalizados" en contra de los permisos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2024

Vulnerabilidad en GitLab (CVE-2023-3509)
Fecha de publicación:
21/02/2024
Idioma:
Español
Se descubrió un problema en GitLab que afecta a todas las versiones anteriores a 16.7.6, todas las versiones desde 16.8 anteriores a 16.8.3, todas las versiones desde 16.9 anteriores a 16.9.1. Los miembros del grupo con función de submantenedor podían cambiar el título de las claves de implementación de acceso privado asociadas con los proyectos del grupo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2024

Vulnerabilidad en Helm (CVE-2024-26147)
Fecha de publicación:
21/02/2024
Idioma:
Español
Helm es un administrador de paquetes para Charts para Kubernetes. Las versiones anteriores a la 3.14.2 contienen una vulnerabilidad variable no inicializada cuando Helm analiza archivos yaml de índice y complemento que carecen del contenido esperado. Cuando a un archivo `index.yaml` o a un archivo de complementos `plugin.yaml` le faltaban todos los metadatos, se producía un pánico en Helm. En el SDK de Helm, esto se encuentra cuando se utilizan las funciones `LoadIndexFile` o `DownloadIndexFile` en el paquete `repo` o la función `LoadDir` en el paquete `plugin`. Para el cliente Helm, esto afecta las funciones relacionadas con la adición de un repositorio y todas las funciones de Helm si se agrega un complemento malicioso, ya que Helm inspecciona todos los complementos conocidos en cada invocación. Este problema se resolvió en Helm v3.14.2. Si se agregó un complemento malicioso que provoca que todos los comandos del cliente Helm entren en pánico, el complemento malicioso se puede eliminar manualmente del sistema de archivos. Si usa versiones de Helm SDK anteriores a la 3.14.2, las llamadas a las funciones afectadas pueden usar "recover" para detectar el pánico.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

Vulnerabilidad en Querybook (CVE-2024-26148)
Fecha de publicación:
21/02/2024
Idioma:
Español
Querybook es una interfaz de usuario para consultar big data. Antes de la versión 3.31.1, había una vulnerabilidad en el editor de texto enriquecido de Querybook que permitía a los usuarios ingresar URL arbitrarias sin someterse a la validación necesaria. Esta falla de seguridad particular permite el uso del protocolo `javascript:` que potencialmente puede desencadenar una ejecución arbitraria del lado del cliente. La explotación más extrema de esta falla podría ocurrir cuando un usuario administrador, sin saberlo, hace clic en una URL de Cross-Site Scripting, comprometiendo así involuntariamente el acceso de la función de administrador al atacante. Se introdujo un parche para rectificar este problema en la versión de Querybook `3.31.1`. La solución es compatible con versiones anteriores y corrige automáticamente los DataDocs existentes. No existen workarounds para este problema, excepto verificar manualmente cada URL antes de hacer clic en ellas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2025
Suscribirse a Vulnerabilidades