Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Panorama de Palo Alto Networks (CVE-2024-2433)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad de autorización inadecuada en el software Panorama de Palo Alto Networks permite que un administrador autenticado de solo lectura cargue archivos utilizando la interfaz web y llene completamente una de las particiones del disco con esos archivos cargados, lo que impide iniciar sesión en la interfaz web o descargarlos. PAN-OS, WildFire e imágenes de contenido. Este problema afecta únicamente a la interfaz web del plano de gestión; el plano de datos no se ve afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en YourSpotify (CVE-2024-28195)
Fecha de publicación:
13/03/2024
Idioma:
Español
your_spotify es un panel de seguimiento de Spotify autohospedado y de código abierto. Las versiones de YourSpotify < 1.9.0 no protegen la API ni el flujo de inicio de sesión contra la Cross-Site Request Forgery (CSRF). Los atacantes pueden usar esto para ejecutar ataques CSRF a las víctimas, permitiéndoles recuperar, modificar o eliminar datos en la instancia de YourSpotify afectada. Al utilizar ataques CSRF repetidos, también es posible crear un nuevo usuario en la instancia de la víctima y promoverlo a administrador de la instancia si un administrador legítimo visita un sitio web preparado por un atacante. Nota: La explotabilidad de esta vulnerabilidad en el mundo real depende de la versión y la configuración del navegador que utiliza la víctima. Este problema se solucionó en la versión 1.9.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2025

Vulnerabilidad en YourSpotify (CVE-2024-28196)
Fecha de publicación:
13/03/2024
Idioma:
Español
your_spotify es un panel de seguimiento de Spotify autohospedado y de código abierto. La versión de YourSpotify < 1.9.0 no impide que otras páginas la muestren en un iframe y, por lo tanto, es vulnerable al clickjacking. El clickjacking se puede utilizar para engañar a un usuario existente de YourSpotify para que active acciones, como permitir el registro de otros usuarios o eliminar la cuenta de usuario actual. El clickjacking funciona abriendo la aplicación objetivo en un iframe invisible en un sitio controlado por un atacante y atrayendo a la víctima para que visite la página del atacante e interactúe con ella. Al colocar elementos sobre el iframe invisible, se puede engañar a una víctima para que desencadene acciones maliciosas o destructivas en el iframe invisible, mientras piensa que interactúa con un sitio totalmente diferente. Cuando una víctima visita un sitio controlado por un atacante mientras está iniciada en YourSpotify, se la puede engañar para que realice acciones en su instancia de YourSpotify sin su conocimiento. Estas acciones incluyen permitir el registro de otros usuarios o eliminar la cuenta de usuario actual, lo que tiene un alto impacto en la integridad de YourSpotify. Este problema se solucionó en la versión 1.9.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2025

Vulnerabilidad en Devolutions Remote Desktop Manager (CVE-2024-2403)
Fecha de publicación:
13/03/2024
Idioma:
Español
La limpieza inadecuada en el componente de manejo de archivos temporales en Devolutions Remote Desktop Manager 2024.1.12 y versiones anteriores en Windows permite que un atacante que comprometió el endpoint de un usuario, bajo circunstancias específicas, acceda a información confidencial a través de archivos residuales en el directorio temporal.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/08/2025

Vulnerabilidad en SourceCodester Best POS Management System 1.0 (CVE-2024-2418)
Fecha de publicación:
13/03/2024
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Best POS Management System 1.0. Ha sido declarada crítica. Una función desconocida del archivo /view_order.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-256705.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2025

Vulnerabilidad en Cisco (CVE-2024-20319)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en el código de reenvío UDP del software Cisco IOS XR podría permitir que un atacante adyacente no autenticado omita las políticas de protección del plano de administración configuradas y acceda al servidor del Plano simple de administración de red (SNMP) de un dispositivo afectado. Esta vulnerabilidad se debe a una programación incorrecta de reenvío UDP cuando se utiliza SNMP con protección del plano de administración. Un atacante podría aprovechar esta vulnerabilidad al intentar realizar una operación SNMP utilizando la transmisión como dirección de destino que podría ser procesada por un dispositivo afectado que esté configurado con un servidor SNMP. Un exploit exitoso podría permitir al atacante comunicarse con el dispositivo en los puertos SNMP configurados. Aunque un atacante no autenticado podría enviar datagramas UDP al puerto SNMP configurado, sólo un usuario autenticado puede recuperar o modificar datos mediante solicitudes SNMP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2025

Vulnerabilidad en Cisco (CVE-2024-20320)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en la función de cliente SSH del software Cisco IOS XR para los enrutadores Cisco de la serie 8000 y los enrutadores Cisco Network Convergence System (NCS) de las series 540 y 5700 podría permitir que un atacante local autenticado eleve los privilegios en un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de los argumentos que se incluyen con el comando CLI del cliente SSH. Un atacante con acceso con pocos privilegios a un dispositivo afectado podría aprovechar esta vulnerabilidad emitiendo un comando de cliente SSH manipulado a la CLI. Un exploit exitoso podría permitir al atacante elevar los privilegios a root en el dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2025

Vulnerabilidad en Cisco (CVE-2024-20322)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en el procesamiento de la lista de control de acceso (ACL) en interfaces Pseudowire en la dirección de ingreso del software Cisco IOS XR podría permitir que un atacante remoto no autenticado omita una ACL configurada. Esta vulnerabilidad se debe a una asignación incorrecta de claves de búsqueda a contextos de interfaz interna. Un atacante podría aprovechar esta vulnerabilidad intentando enviar tráfico a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante acceder a recursos detrás del dispositivo afectado que se suponía estaban protegidos por una ACL configurada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2025

Vulnerabilidad en Cisco (CVE-2024-20327)
Fecha de publicación:
13/03/2024
Idioma:
Español
Una vulnerabilidad en la función de terminación de PPP sobre Ethernet (PPPoE) del software Cisco IOS XR para los enrutadores de servicios de agregación Cisco ASR serie 9000 podría permitir que un atacante adyacente no autenticado bloquee el proceso ppp_ma, lo que resultaría en una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe al manejo inadecuado de paquetes PPPoE con formato incorrecto que se reciben en un enrutador que ejecuta la funcionalidad Broadband Network Gateway (BNG) con terminación PPPoE en una tarjeta de línea basada en Lightspeed o Lightspeed-Plus. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete PPPoE manipulado a una interfaz de tarjeta de línea afectada que no termine PPPoE. Un exploit exitoso podría permitir al atacante bloquear el proceso ppp_ma, lo que resultaría en una condición DoS para el tráfico PPPoE a través del enrutador.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/05/2025

Vulnerabilidad en WP Codeus Advanced Sermons (CVE-2024-27952)
Fecha de publicación:
13/03/2024
Idioma:
Español
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en WP Codeus Advanced Sermons permite Reflected XSS. Este problema afecta a Advanced Sermons: desde n/a hasta 3.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2026

Vulnerabilidad en Cool Plugins Cryptocurrency Widgets – Price Ticker & Coins List (CVE-2024-27953)
Fecha de publicación:
13/03/2024
Idioma:
Español
Vulnerabilidad de autorización faltante en Cool Plugins Cryptocurrency Widgets – Price Ticker & Coins List. Este problema afecta a Cryptocurrency Widgets – Price Ticker & Coins List: desde n/a hasta 2.6.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2026

Vulnerabilidad en Dell PowerEdge Server BIOS and Dell Precision Rack BIOS (CVE-2024-0173)
Fecha de publicación:
13/03/2024
Idioma:
Español
Dell PowerEdge Server BIOS and Dell Precision Rack BIOS contienen una vulnerabilidad de inicialización de parámetros incorrecta. Un atacante local con pocos privilegios podría explotar esta vulnerabilidad para leer el contenido de la memoria de pila que no sea SMM.
Gravedad CVSS v3.1: BAJA
Última modificación:
31/01/2025
Suscribirse a Vulnerabilidades