Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en greykite v1.0.0 (CVE-2024-28425)
Fecha de publicación:
14/03/2024
Idioma:
Español
Se descubrió que greykite v1.0.0 contenía una vulnerabilidad de carga de archivos arbitraria en la función load_obj en /templates/pickle_utils.py. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario cargando un archivo manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/09/2025

Vulnerabilidad en Support App (CVE-2024-27301)
Fecha de publicación:
14/03/2024
Idioma:
Español
Support App es una aplicación de código abierto especializada en la gestión de dispositivos Apple. Es posible abusar de una vulnerabilidad dentro del script del instalador posterior a la instalación para hacer que el instalador ejecute código arbitrario como root. La causa de la vulnerabilidad es el hecho de que se está utilizando el shebang `#!/bin/zsh`. Cuando se ejecuta el instalador, solicita la contraseña del usuario para ejecutarlo como root. Sin embargo, seguirá usando el $HOME del usuario y, por lo tanto, cargará el archivo `$HOME/.zshenv` cuando se ejecute el script `postinstall`. Un atacante podría agregar código malicioso a `$HOME/.zshenv` y se ejecutará cuando se instale la aplicación. Un atacante puede aprovechar esta vulnerabilidad para aumentar los privilegios en el sistema. Este problema se solucionó en la versión 2.5.1 Rev 2. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/12/2025

Vulnerabilidad en IBM Db2 (CVE-2024-22346)
Fecha de publicación:
14/03/2024
Idioma:
Español
Db2 para la infraestructura IBM i 7.2, 7.3, 7.4 y 7.5 podría permitir que un usuario local obtenga privilegios elevados debido a una llamada de biblioteca no calificada. Un actor malintencionado podría provocar que el código controlado por el usuario se ejecute con privilegios de administrador. ID de IBM X-Force: 280203.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/09/2024

Vulnerabilidad en vantage6 (CVE-2024-23823)
Fecha de publicación:
14/03/2024
Idioma:
Español
vantage6 es un framework de código abierto creado para habilitar, administrar e implementar tecnologías que mejoran la privacidad, como el aprendizaje federado y la computación multipartita. El servidor vantage6 no tiene restricciones en la configuración de CORS. Debería ser posible que las personas establezcan los orígenes permitidos del servidor. El impacto es limitado porque la versión 6 no utiliza cookies de sesión. Este problema se solucionó en el commit "70bb4e1d8" y se espera que se incluya en versiones posteriores. Se recomienda a los usuarios que actualicen tan pronto como esté disponible una nueva versión. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/08/2025

Vulnerabilidad en vantage6 (CVE-2024-24562)
Fecha de publicación:
14/03/2024
Idioma:
Español
vantage6-UI es la interfaz de usuario oficial para el servidor vantage6. En las versiones afectadas, no se establecen varios encabezados de seguridad. Este problema se solucionó en el commit `68dfa6614`, que se espera que se incluya en futuras versiones. Se recomienda a los usuarios que actualicen cuando se realice una nueva versión. Si bien no hay una ruta de actualización disponible, los usuarios pueden modificar la compilación de la imagen de la ventana acoplable para insertar los encabezados en nginx.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/08/2025

Vulnerabilidad en vantage6 (CVE-2024-24770)
Fecha de publicación:
14/03/2024
Idioma:
Español
vantage6 es un framework de código abierto creado para habilitar, administrar e implementar tecnologías que mejoran la privacidad, como el aprendizaje federado y la computación multipartita. Al igual que GHSA-45gq-q4xh-cp53, es posible encontrar qué nombres de usuario existen en vantage6 llamando a las rutas API `/recover/lost` y `/2fa/lost`. Estas rutas envían correos electrónicos a los usuarios si han perdido su contraseña o token MFA. Este problema se solucionó en el commit "aecfd6d0e" y se espera que se incluya en versiones posteriores. Se recomienda a los usuarios que actualicen tan pronto como esté disponible una nueva versión. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/07/2025

Vulnerabilidad en iTunes 12.13.1 (CVE-2023-42938)
Fecha de publicación:
14/03/2024
Idioma:
Español
Se solucionó un problema de lógica con controles mejorados. Este problema se solucionó en iTunes 12.13.1 para Windows. Un atacante local podría aumentar sus privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/03/2025

CVE-2024-1998
Fecha de publicación:
14/03/2024
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2024-1795. Reason: This candidate is a reservation duplicate of CVE-2024-1795. Notes: All CVE users should reference CVE-2024-1795 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.
Gravedad: Pendiente de análisis
Última modificación:
14/03/2024

Vulnerabilidad en TurboBoost Commands (CVE-2024-28181)
Fecha de publicación:
14/03/2024
Idioma:
Español
turbo_boost-commands es un conjunto de comandos que le ayudarán a crear aplicaciones reactivas sólidas con Rails y Hotwire. TurboBoost Commands cuenta con protecciones existentes para garantizar que solo se puedan invocar métodos públicos en las clases Command; sin embargo, los controles existentes no son tan sólidos como deberían ser. Es posible que un atacante sofisticado invoque más métodos de los que deberían permitirse dependiendo del rigor de las comprobaciones de autorización que aplican las aplicaciones individuales. Poder llamar a algunos de estos métodos puede tener implicaciones de seguridad. Los comandos verifican que la clase debe ser un "Comando" y que el método solicitado esté definido como un método público; sin embargo, esto no es lo suficientemente sólido como para proteger contra toda ejecución de código no deseado. La librería debería hacer cumplir más estrictamente qué métodos se consideran seguros antes de permitir su ejecución. Este problema se solucionó en las versiones 0.1.3 y 0.2.2. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben consultar el repositorio GHSA para obtener consejos sobre workaround.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/12/2025

Vulnerabilidad en follow-redirects de Node (CVE-2024-28849)
Fecha de publicación:
14/03/2024
Idioma:
Español
follow-redirects es un reemplazo directo de código abierto para los módulos `http` y `https` de Node que sigue automáticamente las redirecciones. En las versiones afectadas, follow-redirects solo borra el encabezado de autorización durante el redireccionamiento entre dominios, pero mantiene el encabezado de autenticación de proxy que también contiene las credenciales. Esta vulnerabilidad puede provocar una fuga de credenciales, pero se solucionó en la versión 1.15.6. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/12/2025

Vulnerabilidad en Intel(R) (CVE-2023-38575)
Fecha de publicación:
14/03/2024
Idioma:
Español
El intercambio no transparente de objetivos de predicción de retorno entre contextos en algunos procesadores Intel(R) puede permitir que un usuario autorizado habilite potencialmente la divulgación de información a través del acceso local.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Intel(R) (CVE-2023-39368)
Fecha de publicación:
14/03/2024
Idioma:
Español
La falla del mecanismo de protección del regulador de bloqueo del bus para algunos procesadores Intel(R) puede permitir que un usuario no autenticado habilite potencialmente la denegación de servicio a través del acceso a la red.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades