Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Ivanti Connect Secure e Ivanti Policy Secure (CVE-2024-10644)

Fecha de publicación:
11/02/2025
Idioma:
Español
La inyección de código en Ivanti Connect Secure anterior a la versión 22.7R2.4 y en Ivanti Policy Secure anterior a la versión 22.7R1.3 permite que un atacante remoto autenticado con privilegios de administrador logre la ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/02/2025

Vulnerabilidad en Ivanti CSA (CVE-2024-11771)

Fecha de publicación:
11/02/2025
Idioma:
Español
Path traversal en Ivanti CSA anterior a la versión 5.0.5 permite que un atacante remoto no autenticado acceda a funcionalidad restringida.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2025

Vulnerabilidad en Ivanti Connect Secure e Ivanti Policy Secure (CVE-2024-12058)

Fecha de publicación:
11/02/2025
Idioma:
Español
El control externo de un nombre de archivo en Ivanti Connect Secure anterior a la versión 22.7R2.6 e Ivanti Policy Secure anterior a la versión 22.7R1.3 permite que un atacante remoto autenticado con privilegios de administrador lea archivos arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/02/2025

Vulnerabilidad en OpenSSL (CVE-2024-12797)

Fecha de publicación:
11/02/2025
Idioma:
Español
Resumen del problema: los clientes que utilizan claves públicas sin procesar (RPK) RFC7250 para autenticar un servidor pueden no darse cuenta de que el servidor no se ha autenticado, porque los protocolos de enlace no se cancelan como se espera cuando se establece el modo de verificación SSL_VERIFY_PEER. Resumen del impacto: las conexiones TLS y DTLS que utilizan claves públicas sin procesar pueden ser vulnerables a ataques de intermediarios cuando los clientes no detectan un error de autenticación del servidor. Las RPK están deshabilitadas de forma predeterminada tanto en los clientes TLS como en los servidores TLS. El problema solo surge cuando los clientes TLS habilitan explícitamente el uso de RPK por parte del servidor y el servidor, a su vez, habilita el envío de una RPK en lugar de una cadena de certificados X.509. Los clientes afectados son aquellos que dependen de que el protocolo de enlace falle cuando la RPK del servidor no coincide con una de las claves públicas esperadas, al establecer el modo de verificación en SSL_VERIFY_PEER. Los clientes que habilitan claves públicas sin procesar del lado del servidor aún pueden descubrir que la verificación de clave pública sin procesar falló al llamar a SSL_get_verify_result(), y aquellos que lo hacen y toman las medidas adecuadas no se ven afectados. Este problema se introdujo en la implementación inicial de la compatibilidad con RPK en OpenSSL 3.2. Los módulos FIPS en 3.4, 3.3, 3.2, 3.1 y 3.0 no se ven afectados por este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/02/2025

Vulnerabilidad en AMI APTIOV (CVE-2024-33659)

Fecha de publicación:
11/02/2025
Idioma:
Español
AMI APTIOV contiene una vulnerabilidad en BIOS donde un atacante puede provocar una validación de entrada incorrecta por parte de un atacante local. La explotación exitosa de estas vulnerabilidades puede provocar la sobrescritura de memoria arbitraria y la ejecución de código arbitrario a nivel de SMM, lo que también afecta la confidencialidad, la integridad y la disponibilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2025

Vulnerabilidad en Devolutions Server 2024.3.10.0 (CVE-2025-1231)

Fecha de publicación:
11/02/2025
Idioma:
Español
El restablecimiento de contraseña incorrecto en el módulo PAM en Devolutions Server 2024.3.10.0 y versiones anteriores permite que un usuario autenticado reutilice la contraseña de usuario de Oracle después del check-in debido a una falla en la funcionalidad de restablecimiento de contraseña.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en JetBrains TeamCity (CVE-2025-26493)

Fecha de publicación:
11/02/2025
Idioma:
Español
En JetBrains TeamCity antes de 2024.12.2, varios XSS basados en DOM eran posibles en la pestaña Informe de inspección de código
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/05/2025

Vulnerabilidad en JetBrains TeamCity (CVE-2025-26492)

Fecha de publicación:
11/02/2025
Idioma:
Español
En JetBrains TeamCity antes de 2024.12.2, las configuraciones de conexión de Kubernetes incorrectas podrían exponer recursos confidenciales
Gravedad CVSS v3.1: ALTA
Última modificación:
16/05/2025

Vulnerabilidad en PandasAI (CVE-2024-12366)

Fecha de publicación:
11/02/2025
Idioma:
Español
PandasAI utiliza una función de solicitud interactiva que es vulnerable a la inyección de solicitudes y ejecuta código Python arbitrario que puede llevar a la ejecución remota de código (RCE) en lugar de la explicación prevista del procesamiento del lenguaje natural por parte del LLM.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/02/2025

Vulnerabilidad en Octopus Server (CVE-2025-0588)

Fecha de publicación:
11/02/2025
Idioma:
Español
En las versiones afectadas de Octopus Server, un usuario con acceso suficiente podía configurar encabezados personalizados en todas las respuestas del servidor. Al enviar un encabezado de referencia especialmente diseñado, el usuario podía asegurarse de que todas las respuestas posteriores del servidor devolvieran errores 500, lo que dejaría el sitio prácticamente inutilizable. El usuario podía configurar y desconfigurar posteriormente el encabezado de referencia para controlar el estado de denegación de servicio con un token CSRF válido, mientras que no se podían generar nuevos tokens CSRF.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/03/2025

Vulnerabilidad en OpenV2G (CVE-2025-24956)

Fecha de publicación:
11/02/2025
Idioma:
Español
Se ha identificado una vulnerabilidad en OpenV2G (todas las versiones anteriores a la V0.9.6). La función de análisis de EXI de OpenV2G no tiene una comprobación de longitud al analizar números de serie X509. Por lo tanto, un atacante podría introducir un desbordamiento de búfer que provoque una corrupción de la memoria.
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/02/2025

Vulnerabilidad en Opcenter Intelligence (CVE-2025-26490)

Fecha de publicación:
11/02/2025
Idioma:
Español
Se ha identificado una vulnerabilidad en Opcenter Intelligence (todas las versiones anteriores a la V2501). Vulnerabilidad de divulgación de token de acceso personal en Tableau Server. Para obtener más información, visite help.salesforce.com y busque el artículo de conocimiento con id. 000390611.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2025