Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en TRENDnet TEW-822DRE 1.03B02 (CVE-2024-0920)
Fecha de publicación:
26/01/2024
Idioma:
Español
Se encontró una vulnerabilidad en TRENDnet TEW-822DRE 1.03B02. Ha sido declarada crítica. Esta vulnerabilidad afecta a código desconocido del archivo /admin_ping.htm del componente POST Request Handler. La manipulación del argumento ipv4_ping/ipv6_ping conduce a la inyección de comandos. El ataque se puede iniciar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-252124. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/05/2024

Vulnerabilidad en Cups Easy (Purchase & Inventory), version 1.0 (CVE-2024-23856)
Fecha de publicación:
26/01/2024
Idioma:
Español
Se ha informado de una vulnerabilidad en Cups Easy (Purchase & Inventory), versión 1.0, por la cual las entradas controladas por el usuario no están suficientemente codificadas, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) a través de /cupseasylive/itemlist.php, en el parámetro description. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una URL especialmente manipulada a un usuario autenticado y robar sus credenciales de cookies de sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/02/2024

Vulnerabilidad en Cups Easy (Purchase & Inventory), version 1.0 (CVE-2024-23857)
Fecha de publicación:
26/01/2024
Idioma:
Español
Se ha informado de una vulnerabilidad en Cups Easy (Purchase & Inventory), versión 1.0, por la cual las entradas controladas por el usuario no están suficientemente codificadas, lo que resulta en una vulnerabilidad de Cross-Site Scripting (XSS) a través de /cupseasylive/grnlinecreate.php, en el parámetro batchno . La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una URL especialmente manipulada a un usuario autenticado y robar sus credenciales de cookies de sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/02/2024

Vulnerabilidad en GNOME GdkPixbuf (CVE-2022-48622)
Fecha de publicación:
26/01/2024
Idioma:
Español
En GNOME GdkPixbuf (también conocido como gdk-pixbuf) hasta 2.42.10, el decodificador ANI (cursor animado de Windows) encuentra corrupción en la memoria del montón (en ani_load_chunk en io-ani.c) al analizar fragmentos en un archivo .ani manipulado. Un archivo manipulado podría permitir a un atacante sobrescribir metadatos del montón, lo que provocaría una denegación de servicio o un ataque de ejecución de código. Esto ocurre en gdk_pixbuf_set_option() en gdk-pixbuf.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2024

Vulnerabilidad en TRENDnet TEW-800MB 1.0.1.0 (CVE-2024-0918)
Fecha de publicación:
26/01/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en TRENDnet TEW-800MB 1.0.1.0 y clasificada como crítica. Una función desconocida del componente POST Request Handler es afectada por esta vulnerabilidad. La manipulación del argumento DeviceURL conduce a la inyección de comandos del sistema operativo. El ataque puede lanzarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-252122 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/05/2024

Vulnerabilidad en OpenSSL (CVE-2024-0727)
Fecha de publicación:
26/01/2024
Idioma:
Español
Resumen del problema: el procesamiento de un archivo PKCS12 con formato malintencionado puede hacer que OpenSSL falle y provoque un posible ataque de denegación de servicio. Resumen de impacto: las aplicaciones que cargan archivos en formato PKCS12 desde fuentes que no son de confianza pueden finalizar abruptamente. Un archivo en formato PKCS12 puede contener certificados y claves y puede provenir de una fuente que no es de confianza. La especificación PKCS12 permite que ciertos campos sean NULL, pero OpenSSL no verifica correctamente este caso. Esto puede provocar una desreferencia del puntero NULL que provoque el bloqueo de OpenSSL. Si una aplicación procesa archivos PKCS12 de una fuente que no es de confianza utilizando las API de OpenSSL, esa aplicación será vulnerable a este problema. Las API de OpenSSL que son vulnerables a esto son: PKCS12_parse(), PKCS12_unpack_p7data(), PKCS12_unpack_p7encdata(), PKCS12_unpack_authsafes() y PKCS12_newpass(). También solucionamos un problema similar en SMIME_write_PKCS7(). Sin embargo, dado que esta función está relacionada con la escritura de datos, no la consideramos importante para la seguridad. Los módulos FIPS en 3.2, 3.1 y 3.0 no se ven afectados por este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kimono-oldnew en Line v13.6.1 (CVE-2023-48129)
Fecha de publicación:
26/01/2024
Idioma:
Español
Un problema en la miniaplicación kimono-oldnew en Line v13.6.1 permite a los atacantes enviar notificaciones maliciosas manipuladas mediante la fuga del token de acceso al canal.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2025

Vulnerabilidad en Biges Safe Life Technologies Electronics Inc (CVE-2023-6919)
Fecha de publicación:
26/01/2024
Idioma:
Español
Vulnerabilidad de Path Traversal: '/../filedir' en Biges Safe Life Technologies Electronics Inc. VGuard permite Absolute Path Traversal. Este problema afecta a VGuard: antes de V500.0003.R008.4011.C0012.B351.C.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2024

Vulnerabilidad en TRENDnet TEW-824DRU versión 1.04b01 (CVE-2024-22545)
Fecha de publicación:
26/01/2024
Idioma:
Español
TRENDnet TEW-824DRU versión 1.04b01 es vulnerable a la inyección de comandos a través de system.ntp.server en la función sub_420AE0().
Gravedad CVSS v3.1: ALTA
Última modificación:
29/05/2025

Vulnerabilidad en Mercari para Android (CVE-2024-23388)
Fecha de publicación:
26/01/2024
Idioma:
Español
La autorización inadecuada en el controlador para un problema de esquema de URL personalizado en la aplicación "Mercari" para Android anterior a la versión 5.78.0 permite a un atacante remoto llevar a un usuario a acceder a un sitio web arbitrario a través de la aplicación vulnerable. Como resultado, el usuario puede convertirse en víctima de un ataque de phishing.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2025

Vulnerabilidad en kosei entertainment esportsstudioLegends en Line v13.6.1 (CVE-2023-48132)
Fecha de publicación:
26/01/2024
Idioma:
Español
Un problema en la miniaplicación kosei entertainment esportsstudioLegends en Line v13.6.1 permite a los atacantes enviar notificaciones maliciosas manipuladas mediante la fuga del token de acceso al canal.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2025

Vulnerabilidad en Angel Coffee en Line v13.6.1 (CVE-2023-48133)
Fecha de publicación:
26/01/2024
Idioma:
Español
Un problema en la miniaplicación Angel Coffee en Line v13.6.1 permite a los atacantes enviar notificaciones maliciosas manipuladas mediante la fuga del token de acceso al canal.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2025
Suscribirse a Vulnerabilidades