Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Yonyou (CVE-2024-24256)
Fecha de publicación:
15/02/2024
Idioma:
Español
Una vulnerabilidad de inyección SQL en la plataforma de integración de información empresarial espacio-temporal de Yonyou v.9.0 y anteriores permite a un atacante obtener información confidencial a través del parámetro gwbhAIM en saveMove.jsp en el directorio hr_position.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/09/2025

Vulnerabilidad en VitalPBX v.3.2.4-5 (CVE-2024-24386)
Fecha de publicación:
15/02/2024
Idioma:
Español
Un problema en VitalPBX v.3.2.4-5 permite a un atacante ejecutar código arbitrario a través de un payload manipulado en la carpeta /var/lib/vitalpbx/scripts.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/09/2025

Vulnerabilidad en ESET (CVE-2024-0353)
Fecha de publicación:
15/02/2024
Idioma:
Español
La vulnerabilidad de escalada de privilegios local potencialmente permitió a un atacante hacer un mal uso de las operaciones de archivos de ESET para eliminar archivos sin tener el permiso adecuado.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2025

Vulnerabilidad en Joomla (CVE-2024-21727)
Fecha de publicación:
15/02/2024
Idioma:
Español
Vulnerabilidad XSS en el componente Calendario DP para Joomla.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/06/2025

Vulnerabilidad en Landing Page Cat – Coming Soon Page, Maintenance Page & Squeeze Pages para WordPress (CVE-2024-0708)
Fecha de publicación:
15/02/2024
Idioma:
Español
El complemento Landing Page Cat – Coming Soon Page, Maintenance Page & Squeeze Pages para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 1.7.2 incluida. Esto hace posible que atacantes no autenticados accedan a páginas de destino que pueden no ser públicas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en Wind River VxWorks (CVE-2023-51787)
Fecha de publicación:
15/02/2024
Idioma:
Español
Se descubrió un problema en Wind River VxWorks 7 22.09 y 23.03. Si se cierra una tarea de VxWorks o un subproceso POSIX que utiliza OpenSSL, la memoria limitada por tarea no se libera, lo que genera una pérdida de memoria.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/01/2026

CVE-2021-29640
Fecha de publicación:
15/02/2024
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This candidate was in a CNA pool that was not assigned to any issues during 2021.
Gravedad: Pendiente de análisis
Última modificación:
15/02/2024

Vulnerabilidad en FreeBSD (CVE-2022-23090)
Fecha de publicación:
15/02/2024
Idioma:
Español
La función aio_aqueue, utilizada por la llamada al sistema lio_listio, no puede liberar una referencia a una credencial en un caso de error. Un atacante puede provocar que el recuento de referencias se desborde, lo que provocará un use after free (UAF).
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2025

Vulnerabilidad en FreeBSD (CVE-2022-23091)
Fecha de publicación:
15/02/2024
Idioma:
Español
Un caso particular de compartir memoria se maneja mal en el sistema de memoria virtual. Esto es muy similar a SA-21:08.vm, pero con una causa raíz diferente. Un proceso de usuario local sin privilegios puede mantener un mapeo de una página después de que se libera, lo que permite que ese proceso lea datos privados que pertenecen a otros procesos o al kernel.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en FreeBSD (CVE-2022-23092)
Fecha de publicación:
15/02/2024
Idioma:
Español
A la implementación del manejo de mensajes RWALK por parte de lib9p le faltaba una verificación de los límites necesaria al descomprimir el contenido del mensaje. La verificación faltante significa que la recepción de un mensaje especialmente manipulado hará que lib9p sobrescriba la memoria no relacionada. El error puede ser provocado por un kernel invitado de bhyve malicioso que sobrescribe la memoria en el proceso bhyve(8). Esto podría conducir potencialmente a la ejecución de código en modo de usuario en el host, sujeto al entorno limitado de Capsicum de bhyve.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2025

Vulnerabilidad en FreeBSD (CVE-2022-23093)
Fecha de publicación:
15/02/2024
Idioma:
Español
ping lee paquetes IP sin procesar de la red para procesar las respuestas en la función pr_pack(). Como parte del procesamiento de una respuesta de ping, se debe reconstruir el encabezado IP, el encabezado ICMP y, si está presente, un "paquete citado", que representa el paquete que generó un error ICMP. El paquete citado nuevamente tiene un encabezado IP y un encabezado ICMP. pr_pack() copia los encabezados IP e ICMP recibidos en búferes de pila para su posterior procesamiento. Al hacerlo, no tiene en cuenta la posible presencia de encabezados de opciones de IP después del encabezado de IP, ya sea en la respuesta o en el paquete citado. Cuando las opciones de IP están presentes, pr_pack() desborda el búfer de destino hasta en 40 bytes. Los errores de seguridad de la memoria descritos anteriormente pueden ser desencadenados por un host remoto, lo que provoca que el programa ping falle. El proceso de ping se ejecuta en un modo sandbox de capacidad en todas las versiones afectadas de FreeBSD y, por lo tanto, está muy limitado en cuanto a cómo puede interactuar con el resto del sistema en el punto donde puede ocurrir el error.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en Algosec FireFlow VisualFlow (CVE-2023-46596)
Fecha de publicación:
15/02/2024
Idioma:
Español
La validación de entrada incorrecta en el editor de flujo de trabajo Algosec FireFlow VisualFlow a través del campo Nombre, Descripción y Archivo de configuración en la versión A32.20, A32.50, A32.60 permite a un atacante iniciar un ataque XSS inyectando scripts ejecutables maliciosos en el código de la aplicación. Corregido en la versión A32.20 (b600 y superior), A32.50 (b430 y superior), A32.60 (b250 y superior)
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2025
Suscribirse a Vulnerabilidades