Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Kibana (CVE-2024-43708)

Fecha de publicación:
23/01/2025
Idioma:
Español
Una asignación de recursos sin límites ni limitaciones en Kibana puede provocar un bloqueo causado por un payload especialmente manipulado para una serie de entradas en la interfaz de usuario de Kibana. Esto lo pueden llevar a cabo los usuarios con acceso de lectura a cualquier función de Kibana.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2025

Vulnerabilidad en M-Files Server (CVE-2025-0619)

Fecha de publicación:
23/01/2025
Idioma:
Español
La recuperación de contraseñas no seguras de la configuración en M-Files Server anterior a la versión 25.1 permite que un usuario con altos privilegios recupere contraseñas de conectores externos
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/01/2025

Vulnerabilidad en M-Files Server (CVE-2025-0635)

Fecha de publicación:
23/01/2025
Idioma:
Español
La condición de denegación de servicio en M-Files Server en versiones anteriores a 25.1.14445.5 permite que un usuario no autenticado consuma recursos informáticos en determinadas condiciones.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/01/2025

Vulnerabilidad en Product Table de WBW para WordPress (CVE-2024-13234)

Fecha de publicación:
23/01/2025
Idioma:
Español
El complemento Product Table de WBW para WordPress es vulnerable a la inyección SQL a través del parámetro 'additionalCondition' en todas las versiones hasta la 2.1.2 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2025

Vulnerabilidad en Prime Slider – Addons For Elementor para WordPress (CVE-2024-12043)

Fecha de publicación:
23/01/2025
Idioma:
Español
El complemento Prime Slider – Addons For Elementor (Revolution of a slider, Hero Slider, Post Slider y Ecommerce Slider) para WordPress es vulnerable a Cross-Site Scriptings almacenado a través del parámetro 'social_link_title' del widget 'blog' en todas las versiones hasta la 3.16.5 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2025

Vulnerabilidad en BMLT Meeting Map para WordPress (CVE-2024-13593)

Fecha de publicación:
23/01/2025
Idioma:
Español
El complemento BMLT Meeting Map para WordPress es vulnerable a la inclusión de archivos locales en todas las versiones hasta la 2.6.0 incluida, a través del código corto 'bmlt_meeting_map'. Esto permite que atacantes autenticados, con acceso de nivel de colaborador o superior, incluyan y ejecuten archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en casos en los que se puedan cargar e incluir imágenes y otros tipos de archivos "seguros".
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2025

Vulnerabilidad en Variation Swatches para WooCommerce (CVE-2024-13511)

Fecha de publicación:
23/01/2025
Idioma:
Español
El complemento Variation Swatches para WooCommerce, en todas las versiones a partir de la 1.0.8 hasta la 1.3.2, contiene una vulnerabilidad debido a una verificación de nonce incorrecta en su función de restablecimiento de configuraciones. El problema existe en la función settings_init(), que procesa una acción de restablecimiento en función de parámetros de consulta específicos en la URL. La función delete_settings() relacionada realiza una verificación de validación de nonce defectuosa, lo que hace que la operación de restablecimiento sea insegura y susceptible a acceso no autorizado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2025

Vulnerabilidad en Armoury Crate (CVE-2024-12957)

Fecha de publicación:
23/01/2025
Idioma:
Español
Una vulnerabilidad en el comando de gestión de archivos en ciertas versiones de Armoury Crate puede provocar la eliminación arbitraria de archivos. Consulta la sección "Actualización de seguridad del 23/01/2025 para la aplicación Armoury Crate" en el Aviso de seguridad de ASUS para obtener más información.
Gravedad CVSS v4.0: ALTA
Última modificación:
23/01/2025

Vulnerabilidad en Apache Wicket (CVE-2024-53299)

Fecha de publicación:
23/01/2025
Idioma:
Español
La gestión de solicitudes en el núcleo de Apache Wicket 7.0.0 en cualquier plataforma permite a un atacante crear un ataque de denegación de servicio (DOS) mediante múltiples solicitudes a los recursos del servidor. Se recomienda a los usuarios actualizar a las versiones 9.19.0 o 10.3.0, que solucionan este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2025

Vulnerabilidad en Fleet Server (CVE-2024-52975)

Fecha de publicación:
23/01/2025
Idioma:
Español
Se identificó un problema en Fleet Server donde las políticas de Fleet que podían contener información confidencial se registraban en los niveles de registro INFO y ERROR. La naturaleza de la información confidencial depende en gran medida de las integraciones habilitadas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/01/2025

Vulnerabilidad en Kibana (CVE-2024-52972)

Fecha de publicación:
23/01/2025
Idioma:
Español
Una asignación de recursos sin límites ni limitación en Kibana puede provocar un bloqueo causado por una solicitud especialmente manipulado a /api/metrics/snapshot. Esto lo pueden llevar a cabo los usuarios con acceso de lectura a las funciones de Métricas de Observabilidad o Registros en Kibana.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2025

Vulnerabilidad en Kibana (CVE-2024-43707)

Fecha de publicación:
23/01/2025
Idioma:
Español
Se identificó un problema en Kibana en el que un usuario sin acceso a Fleet puede ver políticas de Elastic Agent que podrían contener información confidencial. La naturaleza de la información confidencial depende de las integraciones habilitadas para Elastic Agent y sus respectivas versiones.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/01/2025