Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Discourse (CVE-2024-28242)
Fecha de publicación:
15/03/2024
Idioma:
Español
Discourse es una plataforma de código abierto para el debate comunitario. En las versiones afectadas, un atacante puede descubrir que existen categorías secretas cuando tienen fondos configurados. El problema está solucionado en la última versión estable, beta y probada de Discourse. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben eliminar temporalmente los fondos de las categorías.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2025

Vulnerabilidad en OpenMetadata (CVE-2024-28253)
Fecha de publicación:
15/03/2024
Idioma:
Español
OpenMetadata es una plataforma unificada para el descubrimiento, la observabilidad y la gobernanza impulsada por un repositorio central de metadatos, un linaje profundo y una colaboración fluida en equipo. `CompiledRule::validateExpression` también se llama desde `PolicyRepository.prepare`. `prepare()` se llama desde `EntityRepository.prepareInternal()` que, a su vez, se llama desde `EntityResource.createOrUpdate()`. Tenga en cuenta que aunque hay una verificación de autorización (`authorizer.authorize()`), se llama después de que se llama a `prepareInternal()` y, por lo tanto, después de que se haya evaluado la expresión SpEL. Para llegar a este método, un atacante puede enviar una solicitud PUT a `/api/v1/policies` que es manejada por `PolicyResource.createOrUpdate()`. Esta vulnerabilidad se descubrió con la ayuda de la consulta de inyección de lenguaje de expresión (Spring) de CodeQL y también se rastrea como "GHSL-2023-252". Este problema puede provocar la ejecución remota de código y se solucionó en la versión 1.3.1. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/09/2025

Vulnerabilidad en Django (CVE-2024-27351)
Fecha de publicación:
15/03/2024
Idioma:
Español
En Django 3.2 anterior a 3.2.25, 4.2 anterior a 4.2.11 y 5.0 anterior a 5.0.3, el método django.utils.text.Truncator.words() (con html=True) y el filtro de plantilla truncatewords_html están sujetos a un potencial Ataque de denegación de servicio de expresión regular a través de una cadena manipulada. NOTA: este problema existe debido a una solución incompleta para CVE-2019-14232 y CVE-2023-43665.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en Nuclei (CVE-2024-27920)
Fecha de publicación:
15/03/2024
Idioma:
Español
projectdiscovery/nuclei es un escáner de vulnerabilidades rápido y personalizable basado en DSL simple basado en YAML. Se identificó un importante descuido de seguridad en Nuclei v3, que implica la ejecución de plantillas de código sin firmar a través de flujos de trabajo. Esta vulnerabilidad afecta específicamente a los usuarios que utilizan flujos de trabajo personalizados, lo que potencialmente permite la ejecución de código malicioso en el sistema del usuario. Este aviso describe a los usuarios afectados, proporciona detalles sobre el parche de seguridad y sugiere estrategias de mitigación. La vulnerabilidad se aborda en Nuclei v3.2.0. Se recomienda encarecidamente a los usuarios que actualicen a esta versión para mitigar el riesgo de seguridad. Los usuarios deben abstenerse de utilizar flujos de trabajo personalizados si no pueden actualizar inmediatamente. Sólo se deben ejecutar flujos de trabajo confiables y verificados.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/12/2025

Vulnerabilidad en Discourse (CVE-2024-27085)
Fecha de publicación:
15/03/2024
Idioma:
Español
Discourse es una plataforma de código abierto para el debate comunitario. En las versiones afectadas, los usuarios a los que se les permite invitar a otros pueden inyectar datos arbitrariamente grandes en los parámetros utilizados en la ruta de invitación. El problema se solucionó en la última versión de Discourse. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben desactivar las invitaciones o restringir el acceso a ellas mediante la configuración del sitio "invitar a grupos permitidos".
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/08/2025

Vulnerabilidad en Discourse (CVE-2024-27100)
Fecha de publicación:
15/03/2024
Idioma:
Español
Discourse es una plataforma de código abierto para el debate comunitario. En las versiones afectadas, los endpoints para suspender usuarios, silenciar usuarios y exportar archivos CSV no imponían límites en los tamaños de los parámetros que aceptaban. Esto podría provocar un consumo excesivo de recursos que podría dejar una instancia inoperable. Un sitio podría verse interrumpido por un moderador malintencionado en el mismo sitio o por un miembro del personal malicioso en otro sitio en el mismo clúster multisitio. Este problema está solucionado en las últimas versiones estable, beta y de prueba de Discourse. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/08/2025

Vulnerabilidad en OpenText Vertica Management (CVE-2023-7248)
Fecha de publicación:
15/03/2024
Idioma:
Español
Ciertas funciones en la consola de OpenText Vertica Management pueden ser propensas a omitirse mediante solicitudes manipuladas. La vulnerabilidad afectaría una de las funcionalidades de autenticación de Vertica al permitir solicitudes y secuencias especialmente manipuladas. Este problema afecta las siguientes versiones de Vertica Management Console: 10.x 11.1.1-24 o anterior 12.0.4-18 o anterior Actualice a una de las siguientes versiones de Vertica Management Console: 10.x para actualizar a las últimas versiones desde abajo. 11.1.1-25 12.0.4-19 23.x 24.x
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/07/2024

Vulnerabilidad en Discourse (CVE-2024-24748)
Fecha de publicación:
15/03/2024
Idioma:
Español
Discourse es una plataforma de código abierto para el debate comunitario. En las versiones afectadas, un atacante puede descubrir que existe una subcategoría secreta en una categoría pública que no tiene subcategorías públicas. El problema está solucionado en la última versión estable, beta y probada de Discourse. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/04/2025

Vulnerabilidad en Discourse (CVE-2024-24827)
Fecha de publicación:
15/03/2024
Idioma:
Español
Discourse es una plataforma de código abierto para el debate comunitario. Sin un límite de velocidad en el endpoint POST /uploads, a un atacante le resulta más fácil llevar a cabo un ataque DoS en el servidor, ya que crear una carga puede ser un proceso que consume muchos recursos. Tenga en cuenta que el impacto varía de un sitio a otro, ya que varias configuraciones del sitio, como `max_image_size_kb`, `max_attachment_size_kb` y `max_image_megapixels`, determinarán la cantidad de recursos utilizados al crear una carga. El problema está solucionado en la última versión estable, beta y probada de Discourse. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben reducir `max_image_size_kb`, `max_attachment_size_kb` y `max_image_megapixels` ya que las cargas más pequeñas requieren menos recursos para procesar. Alternativamente, `client_max_body_size` se puede reducir en Nginx para evitar que grandes cargas lleguen al servidor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/08/2025

Vulnerabilidad en Zephyr OS (CVE-2023-7060)
Fecha de publicación:
15/03/2024
Idioma:
Español
El manejo de paquetes IP de Zephyr OS no descarta adecuadamente los paquetes IP que llegan a una interfaz externa con una dirección de origen igual a 127.0.01 o la dirección de destino.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2025

Vulnerabilidad en CoreWCF (CVE-2024-28252)
Fecha de publicación:
15/03/2024
Idioma:
Español
CoreWCF es una adaptación del lado de servicio de Windows Communication Foundation (WCF) a .NET Core. Si tiene un servicio CoreWCF basado en NetFraming, se podrían consumir recursos adicionales del sistema si las conexiones se dejan establecidas en lugar de cerrarlas o cancelarlas. Hay dos escenarios en los que esto puede suceder. Cuando un cliente establece una conexión con el servicio y no envía datos, el servicio esperará indefinidamente a que el cliente inicie el protocolo de enlace de sesión de NetFraming. Además, una vez que un cliente ha establecido una sesión, si el cliente no envía ninguna solicitud durante el período de tiempo configurado en el enlace ReceiverTimeout, la conexión no se cierra correctamente como parte del aborto de la sesión. Los enlaces afectados por este comportamiento son NetTcpBinding, NetNamedPipeBinding y UnixDomainSocketBinding. Sólo NetTcpBinding tiene la capacidad de aceptar conexiones no locales. Las versiones actualmente compatibles de CoreWCF son v1.4.x y v1.5.x. La solución se puede encontrar en v1.4.2 y v1.5.3 de los paquetes CoreWCF. Se recomienda a los usuarios que actualicen. No existen workarounds para este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Snowflake Hive (CVE-2024-28851)
Fecha de publicación:
15/03/2024
Idioma:
Español
El conector de metastore de Snowflake Hive proporciona una forma sencilla de consultar datos administrados por Hive a través de Snowflake. Snowflake Hive MetaStore Connector ha abordado una posible vulnerabilidad de elevación de privilegios en un "script de ayuda" para Hive MetaStore Connector. En teoría, un usuario interno malicioso sin privilegios de administrador podría usar el script para descargar contenido de un dominio de Microsoft al sistema local y reemplazar el contenido válido con código malicioso. Si el atacante también tuviera acceso local al mismo sistema donde se ejecuta el script modificado maliciosamente, podría intentar manipular a los usuarios para que ejecuten el script auxiliar controlado por el atacante, obteniendo potencialmente privilegios elevados para el sistema local. La vulnerabilidad en el script se corrigió el 9 de febrero de 2024, sin un aumento de versión en el Conector. Se recomienda encarecidamente a los usuarios que utilicen el script auxiliar que utilicen la última versión lo antes posible. Los usuarios que no puedan actualizar deben evitar utilizar el script de ayuda.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/04/2025
Suscribirse a Vulnerabilidades