Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Drupal Opigno Learning path (CVE-2024-13265)

Fecha de publicación:
09/01/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de directivas en código guardado estáticamente ('inyección de código estático') en Drupal Opigno Learning path permite la inclusión de archivos locales en PHP. Este problema afecta a Opigno Learning path: desde la versión 0.0.0 hasta la 3.1.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2025

Vulnerabilidad en Drupal Responsive y off-canvas menu (CVE-2024-13266)

Fecha de publicación:
09/01/2025
Idioma:
Español
La vulnerabilidad de autorización incorrecta en Drupal Responsive y off-canvas menu permite una navegación forzada. Este problema afecta a Responsive and off-canvas menu: desde 0.0.0 antes de 4.4.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/01/2025

Vulnerabilidad en Drupal Opigno TinCan Question Type (CVE-2024-13267)

Fecha de publicación:
09/01/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de directivas en código guardado estáticamente ('inyección de código estático') en Drupal Opigno TinCan Question Type permite la inclusión de archivos locales en PHP. Este problema afecta a Opigno TinCan Question Type: desde 7.X-1.0 antes de 7.X-1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2025

Vulnerabilidad en Drupal Acquia DAM (CVE-2024-13261)

Fecha de publicación:
09/01/2025
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Drupal Acquia DAM permite Cross-Site Request Forgery. Este problema afecta a Acquia DAM: desde la versión 0.0.0 hasta la 1.0.13, desde la versión 1.1.0 hasta la 1.1.0-beta3.
Gravedad CVSS v3.1: BAJA
Última modificación:
10/01/2025

Vulnerabilidad en Drupal View Password (CVE-2024-13262)

Fecha de publicación:
09/01/2025
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Drupal View Password permite Cross-Site Scripting (XSS). Este problema afecta a View Password: desde la versión 0.0.0 hasta la 6.0.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2025

Vulnerabilidad en Drupal Migrate queue importer (CVE-2024-13260)

Fecha de publicación:
09/01/2025
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Drupal Migrate queue importer permite Cross-Site Request Forgery. Este problema afecta a Migrate queue importer: desde la versión 0.0.0 hasta la 2.1.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2025

Vulnerabilidad en WPBookit para WordPress (CVE-2024-10215)

Fecha de publicación:
09/01/2025
Idioma:
Español
El complemento WPBookit para WordPress es vulnerable al cambio arbitrario de contraseñas de usuario en versiones hasta la 1.6.4 incluida. Esto se debe a que el complemento proporciona acceso controlado por el usuario a los objetos, lo que permite que un usuario eluda la autorización y acceda a los recursos del sistema. Esto hace posible que atacantes no autenticados cambien las contraseñas de los usuarios y potencialmente se apropien de las cuentas de administrador.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/06/2025

Vulnerabilidad en Juniper Networks Junos OS y Junos OS Evolved (CVE-2025-21598)

Fecha de publicación:
09/01/2025
Idioma:
Español
Una vulnerabilidad de lectura fuera de los límites en el daemon de protocolo de enrutamiento (rpd) de Juniper Networks Junos OS y Junos OS Evolved permite que un atacante no autenticado basado en la red envíe paquetes BGP malformados a un dispositivo configurado con opciones de seguimiento de recepción de paquetes habilitadas para bloquear rpd. Este problema afecta a: Junos OS: * desde 21.2R3-S8 antes de 21.2R3-S9, * desde 21.4R3-S7 antes de 21.4R3-S9, * desde 22.2R3-S4 antes de 22.2R3-S5, * desde 22.3R3-S2 antes de 22.3R3-S4, * desde 22.4R3 antes de 22.4R3-S5, * desde 23.2R2 antes de 23.2R2-S2, * desde 23.4R1 antes de 23.4R2-S1, * desde 24.2R1 antes de 24.2R1-S1, 24.2R2. Junos OS Evolved: * desde 21.4R3-S7-EVO hasta 21.4R3-S9-EVO, * desde 22.2R3-S4-EVO hasta 22.2R3-S5-EVO, * desde 22.3R3-S2-EVO hasta 22.3R3-S4-EVO, * desde 22.4R3-EVO hasta 22.4R3-S5-EVO, * desde 23.2R2-EVO hasta 23.2R2-S2-EVO, * desde 23.4R1-EVO hasta 23.4R2-S1-EVO, * desde 24.2R1-EVO hasta 24.2R1-S2-EVO, 24.2R2-EVO. Este problema requiere que se establezca una sesión BGP. Este problema puede propagarse y multiplicarse a través de varios AS hasta llegar a dispositivos vulnerables. Este problema afecta a iBGP y eBGP. Este problema afecta a IPv4 e IPv6. Un indicador de compromiso puede ser la presencia de mensajes de actualización malformados en un AS vecino que no se ve afectado por este problema: por ejemplo, al emitir el comando en el dispositivo vecino: show log messages La revisión de mensajes similares de dispositivos cercanos entre sí puede indicar que este paquete malformado se está propagando: rpd[]: Se recibió una actualización malformada de (AS externo ) y rpd[]: Atributo malformado
Gravedad CVSS v4.0: ALTA
Última modificación:
09/01/2025

Vulnerabilidad en Strawberry GraphQL (CVE-2025-22151)

Fecha de publicación:
09/01/2025
Idioma:
Español
Strawberry GraphQL es una librería para crear API de GraphQL. A partir de la versión 0.182.0 y antes de la versión 0.257.0, existe una vulnerabilidad de confusión de tipos en la integración de retransmisión de Strawberry GraphQL que afecta a varias integraciones ORM (Django, SQLAlchemy, Pydantic). La vulnerabilidad se produce cuando se asignan varios tipos de GraphQL al mismo modelo subyacente mientras se utiliza la interfaz del nodo de retransmisión. Al consultar un tipo específico mediante el campo de nodo global (por ejemplo, FruitType:some-id), el solucionador puede devolver incorrectamente una instancia de un tipo diferente asignado al mismo modelo (por ejemplo, SpecialFruitType). Esto puede provocar la divulgación de información si el tipo alternativo expone campos confidenciales y una posible escalada de privilegios si el tipo alternativo contiene datos destinados a un acceso restringido. Esta vulnerabilidad se solucionó en la versión 0.257.0.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/01/2025

Vulnerabilidad en Drupal Registration role (CVE-2024-13251)

Fecha de publicación:
09/01/2025
Idioma:
Español
La vulnerabilidad de asignación incorrecta de privilegios en Drupal Registration role permite la escalada de privilegios. Este problema afecta a Registration role: desde 0.0.0 antes de 2.0.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/06/2025

Vulnerabilidad en Drupal Advanced PWA inc Push Notifications (CVE-2024-13253)

Fecha de publicación:
09/01/2025
Idioma:
Español
La vulnerabilidad de autorización incorrecta en Drupal Advanced PWA inc Push Notifications permite la navegación forzada. Este problema afecta a Advanced PWA inc Push Notifications: desde 0.0.0 antes de 1.5.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/06/2025

Vulnerabilidad en Drupal TacJS (CVE-2024-13252)

Fecha de publicación:
09/01/2025
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Drupal TacJS permite Cross-Site Scripting (XSS). Este problema afecta a TacJS: desde 0.0.0 antes de 6.5.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025