Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en com.eypcnnapps.quickreboot para Android (CVE-2023-47355)
Fecha de publicación:
05/02/2024
Idioma:
Español
La aplicación com.eypcnnapps.quickreboot (también conocida como Eyuep Can Yilmaz {ROOT] Quick Reboot) 1.0.8 para Android ha expuesto receptores de transmisión para apagado, reinicio y recuperación (por ejemplo, com.eypcnnapps.quickreboot.widget.PowerOff) que son susceptibles a transmisiones no autorizadas debido a la falta de validación de entrada.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/06/2025

Vulnerabilidad en B&R Industrial Automation Automation Runtime (CVE-2024-0323)
Fecha de publicación:
05/02/2024
Idioma:
Español
Uso de una vulnerabilidad de algoritmo criptográfico defectuoso o riesgoso en B&R Industrial Automation Automation Runtime (módulos SDM). El servidor FTP utilizado en B&R Automation Runtime admite mecanismos de cifrado no seguros, como SSLv3, TLSv1.0 y TLS1.1. Un atacante basado en red puede explotar las fallas para realizar ataques de intermediario o para descifrar las comunicaciones entre los clientes del producto afectado. Este problema afecta a Automation Runtime: desde 14.0 antes de 14.93.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/09/2024

Vulnerabilidad en FastAPI (CVE-2024-24762)
Fecha de publicación:
05/02/2024
Idioma:
Español
FastAPI es un framework web para crear API con Python 3.8+ basado en sugerencias de tipo estándar de Python. Cuando se utilizan datos de formulario, `python-multipart` usa una expresión regular para analizar el encabezado HTTP `Content-Type`, incluidas las opciones. Un atacante podría enviar una opción de "Tipo de contenido" personalizada que es muy difícil de procesar para RegEx, consumiendo recursos de CPU y deteniéndose indefinidamente (minutos o más) mientras se mantiene el bucle de evento principal. Esto significa que el proceso no puede manejar más solicitudes. Es un ReDoS (expresión regular de denegación de servicio), solo se aplica a aquellos que leen datos del formulario usando `python-multipart`. Esta vulnerabilidad ha sido parcheada en la versión 0.109.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/05/2025

Vulnerabilidad en 1Panel (CVE-2024-24768)
Fecha de publicación:
05/02/2024
Idioma:
Español
1Panel es un panel de gestión de operación y mantenimiento de servidores Linux de código abierto. La cookie HTTPS que viene con el panel no tiene la palabra clave Secure, lo que puede hacer que la cookie se envíe en texto plano si se accede mediante HTTP. Este problema se solucionó en la versión 1.9.6.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2024

Vulnerabilidad en Engrampa (CVE-2023-52138)
Fecha de publicación:
05/02/2024
Idioma:
Español
Engrampa es un administrador de archivos para el entorno MATE. Se descubre que Engrampa es vulnerable a una vulnerabilidad de Path Traversa que se puede aprovechar para lograr una ejecución remota de comandos (RCE) completa en el objetivo. Mientras maneja archivos CPIO, el administrador de archivos de Engrampa sigue el enlace simbólico, cpio de forma predeterminada seguirá los enlaces simbólicos almacenados durante la extracción y el Archiver no verificará la ubicación del enlace simbólico, lo que conduce a escrituras arbitrarias de archivos en ubicaciones no deseadas. Cuando la víctima extrae el archivo, el atacante puede crear un archivo cpio o ISO malicioso para lograr RCE en el sistema de destino. Esta vulnerabilidad se solucionó en el commit 63d5dfa.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en CPIO (CVE-2023-7216)
Fecha de publicación:
05/02/2024
Idioma:
Español
Se encontró una vulnerabilidad de path traversal en la utilidad CPIO. Este problema podría permitir que un atacante remoto no autenticado engañe a un usuario para que abra un archivo especialmente manipulado. Durante el proceso de extracción, el archivador podría seguir enlaces simbólicos fuera del directorio deseado, que podrían utilizarse para ejecutar comandos arbitrarios en el sistema de destino.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2026

Vulnerabilidad en Fortinet FortiSIEM (CVE-2024-23109)
Fecha de publicación:
05/02/2024
Idioma:
Español
Una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo ('inyección de comando del sistema operativo') en Fortinet FortiSIEM versión 7.1.0 a 7.1.1 y 7.0.0 a 7.0.2 y 6.7.0 a 6.7.8 y 6.6.0 a través 6.6.3 y 6.5.0 a 6.5.2 y 6.4.0 a 6.4.2 permiten al atacante ejecutar código o comandos no autorizados a través de solicitudes API manipuladas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/01/2026

Vulnerabilidad en Fortinet FortiSIEM (CVE-2024-23108)
Fecha de publicación:
05/02/2024
Idioma:
Español
Una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo ('inyección de comando del sistema operativo') en Fortinet FortiSIEM versión 7.1.0 a 7.1.1 y 7.0.0 a 7.0.2 y 6.7.0 a 6.7.8 y 6.6.0 a través 6.6.3 y 6.5.0 a 6.5.2 y 6.4.0 a 6.4.2 permiten al atacante ejecutar código o comandos no autorizados a través de solicitudes API manipuladas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/01/2026

Vulnerabilidad en QiboSoft QiboCMS X1 (CVE-2024-1225)
Fecha de publicación:
05/02/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en QiboSoft QiboCMS X1 hasta 1.0.6 y clasificada como crítica. La función rmb_pay del archivo /application/index/controller/Pay.php es afectada por esta vulnerabilidad. La manipulación del argumento callback_class conduce a la deserialización. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-252847. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en Arm Ltd Bifrost GPU Kernel Driver, Arm Ltd Valhall GPU Kernel Driver (CVE-2023-5249)
Fecha de publicación:
05/02/2024
Idioma:
Español
Vulnerabilidad de Use After Free en Arm Ltd Bifrost GPU Kernel Driver, Arm Ltd Valhall GPU Kernel Driver permite a un usuario local sin privilegios realizar operaciones de procesamiento de memoria inadecuadas para explotar una condición de ejecución del software. Si el usuario prepara cuidadosamente la memoria del sistema, esto a su vez provocará un use-after-free. Este problema afecta al controlador del kernel de GPU Bifrost: de r35p0 a r40p0; Controlador del kernel de GPU Valhall: desde r35p0 hasta r40p0.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2024

Vulnerabilidad en Arm Ltd Bifrost GPU Kernel Driver, Arm Ltd Valhall GPU Kernel Driver, Arm Ltd Arm 5th Gen GPU Architecture Kernel Driver (CVE-2023-5643)
Fecha de publicación:
05/02/2024
Idioma:
Español
Vulnerabilidad de escritura fuera de los límites en Arm Ltd Bifrost GPU Kernel Driver, Arm Ltd Valhall GPU Kernel Driver, Arm Ltd Arm 5th Gen GPU Architecture Kernel Driver permite a un usuario local sin privilegios realizar operaciones de procesamiento de memoria GPU inadecuadas. Dependiendo de la configuración del controlador del kernel de GPU de Mali, y si el usuario prepara cuidadosamente la memoria del sistema, esto a su vez podría escribir en la memoria fuera de los límites del búfer. Este problema afecta al controlador del kernel de GPU Bifrost: desde r41p0 hasta r45p0; Controlador del kernel de GPU Valhall: desde r41p0 hasta r45p0; Controlador del kernel de arquitectura de GPU Arm de quinta generación: desde r41p0 hasta r45p0.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/05/2025

Vulnerabilidad en 3DPrint Lite de WordPress (CVE-2021-4436)
Fecha de publicación:
05/02/2024
Idioma:
Español
El complemento 3DPrint Lite de WordPress anterior a 1.9.1.5 no tiene ninguna autorización y no verifica el archivo cargado en su acción p3dlite_handle_upload AJAX, lo que permite a usuarios no autenticados cargar archivos arbitrarios al servidor web. Sin embargo, existe un .htaccess que impide acceder al archivo en servidores web como Apache.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/08/2024
Suscribirse a Vulnerabilidades