Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OroPlatform (CVE-2023-48296)
Fecha de publicación:
25/03/2024
Idioma:
Español
OroPlatform es una plataforma de aplicaciones empresariales (BAP) PHP. El historial de navegación y los elementos de navegación más vistos y favoritos se devuelven al usuario de la tienda en la respuesta de navegación JSON si el ID del usuario de la tienda coincide con el ID del usuario de la oficina administrativa. Esta vulnerabilidad se soluciona en 5.1.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/03/2025

Vulnerabilidad en phpMyFAQ (CVE-2024-27299)
Fecha de publicación:
25/03/2024
Idioma:
Español
phpMyFAQ es una aplicación web de preguntas frecuentes de código abierto para PHP 8.1+ y MySQL, PostgreSQL y otras bases de datos. Se ha descubierto una vulnerabilidad de inyección SQL en la funcionalidad "Agregar noticias" debido a un escape incorrecto de la dirección de correo electrónico. Esto permite que cualquier usuario autenticado con derechos para agregar/editar noticias de preguntas frecuentes aproveche esta vulnerabilidad para filtrar datos, hacerse cargo de cuentas y, en algunos casos, incluso lograr RCE. El campo vulnerable se encuentra en el campo `authorEmail` que utiliza el filtro `FILTER_VALIDATE_EMAIL` de PHP. Este filtro es insuficiente para proteger contra ataques de inyección SQL y aun así se debe escapar correctamente. Sin embargo, en esta versión de phpMyFAQ (3.2.5), este campo no tiene el formato de escape adecuado y puede usarse junto con otros campos para explotar completamente la vulnerabilidad de inyección SQL. Esta vulnerabilidad se soluciona en 3.2.6.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/01/2025

Vulnerabilidad en phpMyFAQ (CVE-2024-27300)
Fecha de publicación:
25/03/2024
Idioma:
Español
phpMyFAQ es una aplicación web de preguntas frecuentes de código abierto para PHP 8.1+ y MySQL, PostgreSQL y otras bases de datos. El campo `email` en la página del panel de control de usuario de phpMyFAQ es vulnerable a ataques XSS almacenados debido a la insuficiencia de la función `FILTER_VALIDATE_EMAIL` de PHP, que solo valida el formato del correo electrónico, no su contenido. Esta vulnerabilidad permite a un atacante ejecutar JavaScript arbitrario del lado del cliente dentro del contexto de la sesión phpMyFAQ de otro usuario. Esta vulnerabilidad se soluciona en 3.2.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2025

Vulnerabilidad en Kickdler (CVE-2024-25175)
Fecha de publicación:
25/03/2024
Idioma:
Español
Un problema en Kickdler anterior a v1.107.0 permite a los atacantes proporcionar un payload XSS a través de un ataque de división de respuesta HTTP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2025

Vulnerabilidad en Emacs (CVE-2024-30202)
Fecha de publicación:
25/03/2024
Idioma:
Español
En Emacs anterior a 29.3, el código Lisp arbitrario se evalúa como parte de activar el modo Org. Esto afecta al modo de organización anterior a la versión 9.6.23.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2025

Vulnerabilidad en Emacs (CVE-2024-30203)
Fecha de publicación:
25/03/2024
Idioma:
Español
En Emacs anterior a 29.3, Gnus trata el contenido MIME en línea como confiable.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/05/2025

Vulnerabilidad en Emacs (CVE-2024-30204)
Fecha de publicación:
25/03/2024
Idioma:
Español
En Emacs anterior a 29.3, la vista previa de LaTeX está habilitada de forma predeterminada para los archivos adjuntos de correo electrónico.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/05/2025

Vulnerabilidad en Emacs (CVE-2024-30205)
Fecha de publicación:
25/03/2024
Idioma:
Español
En Emacs anterior a 29.3, el modo Org considera que el contenido de los archivos remotos es confiable. Esto afecta al modo de organización anterior a la versión 9.6.23.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2025

Vulnerabilidad en ESP-IDF (CVE-2024-28183)
Fecha de publicación:
25/03/2024
Idioma:
Español
ESP-IDF es el framework de desarrollo para los SoC de Espressif compatibles con Windows, Linux y macOS. Se descubrió una vulnerabilidad de tiempo de verificación a tiempo de uso (TOCTOU) en la implementación del gestor de arranque ESP-IDF que podría permitir a un atacante con acceso físico a la memoria flash del dispositivo eludir la protección anti-retroceso. Anti-rollback evita el retroceso a una aplicación con una versión de seguridad inferior a la programada en eFuse del chip. Este ataque puede permitir arrancar más allá de la partición de la aplicación (pasiva) que tiene una versión de menor seguridad del mismo dispositivo, incluso en presencia del esquema de cifrado flash. El ataque requiere modificar cuidadosamente el contenido flash después de que el gestor de arranque haya realizado las comprobaciones anti-retroceso (antes de cargar la aplicación). La vulnerabilidad se solucionó en 4.4.7 y 5.2.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/12/2025

Vulnerabilidad en @thi.ng/paths v.5.1.62 (CVE-2024-29650)
Fecha de publicación:
25/03/2024
Idioma:
Español
Un problema en @thi.ng/paths v.5.1.62 y anteriores permite a un atacante remoto ejecutar código arbitrario a través de los componentes mutIn y mutInManyUnsafe.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Home-Made.io fastmagsync (CVE-2024-28386)
Fecha de publicación:
25/03/2024
Idioma:
Español
Un problema en Home-Made.io fastmagsync v.1.7.51 y anteriores permite a un atacante remoto ejecutar código arbitrario a través del componente getPhpBin().
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/09/2025

Vulnerabilidad en axonaut (CVE-2024-28387)
Fecha de publicación:
25/03/2024
Idioma:
Español
Un problema en axonaut v.3.1.23 y anteriores permite a un atacante remoto obtener información confidencial a través del componente log.txt.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/09/2025
Suscribirse a Vulnerabilidades