Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Vyper (CVE-2024-24560)
Fecha de publicación:
02/02/2024
Idioma:
Español
Vyper es un lenguaje de contrato inteligente pitónico para la máquina virtual Ethereum. Cuando se realizan llamadas a contratos externos, escribimos el búfer de entrada comenzando en el byte 28 y asignamos el búfer de retorno para que comience en el byte 0 (superponiéndose con el búfer de entrada). Al verificar RETURNDATASIZE para tipos dinámicos, el tamaño se compara solo con el tamaño mínimo permitido para ese tipo y no con la longitud del valor devuelto. Como resultado, los datos de devolución con formato incorrecto pueden hacer que el contrato confunda los datos del búfer de entrada con los datos de devolución. Cuando el contrato llamado devuelve datos codificados ABIv2 no válidos, el contrato que llama puede leer datos no válidos diferentes (del búfer sucio) que los devueltos por el contrato llamado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2024

Vulnerabilidad en mailcow (CVE-2024-24760)
Fecha de publicación:
02/02/2024
Idioma:
Español
mailcow es un paquete de correo electrónico acoplado, con múltiples contenedores vinculados en una red puente. Se ha identificado una vulnerabilidad de seguridad en mailcow que afecta a las versiones <2024-01c. Esta vulnerabilidad potencialmente permite a atacantes en la misma subred conectarse a puertos expuestos de un contenedor Docker, incluso cuando el puerto está vinculado a 127.0.0.1. La vulnerabilidad se ha solucionado mediante la implementación de reglas adicionales de iptables/nftables. Estas reglas descartan paquetes para contenedores Docker en los puertos 3306, 6379, 8983 y 12345, donde la interfaz de entrada no es "br-mailcow" y la interfaz de salida es "br-mailcow".
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2024

Vulnerabilidad en GTB Central Console 15.17.1-30814.NG (CVE-2024-22107)
Fecha de publicación:
02/02/2024
Idioma:
Español
Se descubrió un problema en GTB Central Console 15.17.1-30814.NG. El método systemSettingsDnsDataAction en /opt/webapp/src/AppBundle/Controller/React/SystemSettingsController.php es vulnerable a la inyección de comandos a través del endpoint /old/react/v1/api/system/dns/data. Un atacante autenticado puede abusar de él para inyectar un comando arbitrario y comprometer la plataforma.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/05/2025

Vulnerabilidad en GTB Central Console 15.17.1-30814.NG (CVE-2024-22108)
Fecha de publicación:
02/02/2024
Idioma:
Español
Se descubrió un problema en GTB Central Console 15.17.1-30814.NG. El método setTermsHashAction en /opt/webapp/lib/PureApi/CCApi.class.php es vulnerable a una inyección SQL no autenticada a través de /ccapi.php que un atacante puede abusar para cambiar la contraseña del administrador a un valor conocido.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/06/2025

Vulnerabilidad en mailcow (CVE-2024-23824)
Fecha de publicación:
02/02/2024
Idioma:
Español
mailcow es un paquete de correo electrónico acoplado, con múltiples contenedores vinculados en una red puente. La aplicación es vulnerable al ataque de inundación de píxeles; una vez que el payload se ha cargado correctamente en el logotipo, la aplicación se vuelve lenta y no responde en la página de administración. Se prueba en las versiones 2023-12a y anteriores y se parchea en la versión 2024-01.
Gravedad CVSS v3.1: BAJA
Última modificación:
10/02/2024

Vulnerabilidad en LedgerSMB (CVE-2024-23831)
Fecha de publicación:
02/02/2024
Idioma:
Español
LedgerSMB es un sistema de contabilidad por partida doble gratuito basado en la web. Cuando un administrador de base de datos LedgerSMB tiene una sesión activa en /setup.pl, un atacante puede engañar al administrador para que haga clic en un enlace que envía automáticamente una solicitud a setup.pl sin el consentimiento del administrador. Esta solicitud se puede utilizar para crear una nueva cuenta de usuario con privilegios completos de aplicación (/login.pl), lo que lleva a una escalada de privilegios. La vulnerabilidad está parcheada en las versiones 1.10.30 y 1.11.9.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2024

Vulnerabilidad en JFinalCMS 5.0.0 (CVE-2024-24029)
Fecha de publicación:
02/02/2024
Idioma:
Español
JFinalCMS 5.0.0 es vulnerable a la inyección de SQL a través de /admin/content/data.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/06/2025

Vulnerabilidad en MRCMS 3.0 (CVE-2024-24160)
Fecha de publicación:
02/02/2024
Idioma:
Español
MRCMS 3.0 contiene una vulnerabilidad de Cross-Site Scripting (XSS) a través de /admin/system/saveinfo.do.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/05/2025

Vulnerabilidad en MRCMS 3.0 (CVE-2024-24161)
Fecha de publicación:
02/02/2024
Idioma:
Español
MRCMS 3.0 contiene una vulnerabilidad de lectura arbitraria de archivos en /admin/file/edit.do ya que el parámetro de ruta entrante no está filtrado.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/06/2025

Vulnerabilidad en flusity-CMS v.2.33 (CVE-2024-24470)
Fecha de publicación:
02/02/2024
Idioma:
Español
Vulnerabilidad de Cross Site Request Forgery en flusity-CMS v.2.33 permite a un atacante remoto ejecutar código arbitrario a través del componente update_post.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/06/2025

Vulnerabilidad en open-irs (CVE-2024-24757)
Fecha de publicación:
02/02/2024
Idioma:
Español
open-irs es un robot de respuesta a problemas que responde a problemas en el repositorio instalado. El archivo `.env` se cargó accidentalmente al trabajar con acciones de git. Este problema se solucionó en 1.0.1. Descontinuar todas las claves sensibles y convertirlas en secretos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/02/2024

Vulnerabilidad en QNAP (CVE-2023-50359)
Fecha de publicación:
02/02/2024
Idioma:
Español
Se ha informado que una vulnerabilidad de valor de retorno no verificada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores locales autenticados colocar el sistema en un estado que podría provocar una falla u otros comportamientos no deseados a través de vectores no especificados. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.5.2645 compilación 20240116 y posteriores QuTS hero h5.1.5.2647 compilación 20240118 y posteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2024
Suscribirse a Vulnerabilidades