Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WatchGuard Mobile VPN (CVE-2024-4944)
Fecha de publicación:
09/07/2024
Idioma:
Español
Una vulnerabilidad de escalada de privilegios local en el cliente WatchGuard Mobile VPN con SSL en Windows permite a un usuario local ejecutar comandos arbitrarios con privilegios elevados.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/08/2024

Vulnerabilidad en WatchGuard Fireware OS (CVE-2024-5974)
Fecha de publicación:
09/07/2024
Idioma:
Español
Un desbordamiento del búfer en WatchGuard Fireware OS podría permitir que un atacante remoto autenticado con acceso de administración privilegiado ejecute código arbitrario con privilegios del sistema en el firewall. Este problema afecta al sistema operativo Fireware: desde 11.9.6 hasta 12.10.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/01/2025

Vulnerabilidad en Houzez Theme - Functionality para WordPress (CVE-2024-5793)
Fecha de publicación:
09/07/2024
Idioma:
Español
El complemento Houzez Theme - Functionality para WordPress es vulnerable a la inyección SQL a través del parámetro 'currency_code' en todas las versiones hasta la 3.2.2 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con acceso de nivel personalizado (vendedor) y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2024

Vulnerabilidad en Media Hygiene: Remove or Delete Unused Images and More! para WordPress (CVE-2024-5855)
Fecha de publicación:
09/07/2024
Idioma:
Español
El complemento Media Hygiene: Remove or Delete Unused Images and More! para WordPress es vulnerable a la pérdida no autorizada de datos debido a una falta de verificación de capacidad en las acciones AJAX Bulk_action_delete y delete_single_image_call en todas las versiones hasta la 3.0.1 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, eliminen archivos adjuntos arbitrarios. Se agregó una verificación nonce en la versión 3.0.1; sin embargo, no fue hasta la versión 3.0.2 que se agregó una verificación de capacidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2024

Vulnerabilidad en UniFi iOS 10.15.0 (CVE-2024-34786)
Fecha de publicación:
09/07/2024
Idioma:
Español
La aplicación UniFi iOS 10.15.0 introduce una configuración incorrecta en los puntos de acceso UniFi de segunda generación configurados como independientes (sin usar la aplicación de red UniFi) que podría provocar que el nombre SSID cambie y/o que se elimine la contraseña WiFi en la radio de 5 GHz. Esta vulnerabilidad se solucionó en la aplicación UniFi iOS 10.15.2 y posteriores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/02/2025

Vulnerabilidad en Node.js (CVE-2024-22020)
Fecha de publicación:
09/07/2024
Idioma:
Español
Un fallo de seguridad en Node.js permite eludir las restricciones de importación de la red. Al incorporar importaciones fuera de la red en las URL de datos, un atacante puede ejecutar código arbitrario, comprometiendo la seguridad del sistema. Verificada en varias plataformas, la vulnerabilidad se mitiga al prohibir las URL de datos en las importaciones de red. La explotación de este fallo puede violar la seguridad de importación de la red, lo que representa un riesgo para los desarrolladores y servidores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2025

Vulnerabilidad en librería jaraco/zipp (CVE-2024-5569)
Fecha de publicación:
09/07/2024
Idioma:
Español
Existe una vulnerabilidad de denegación de servicio (DoS) en la librería jaraco/zipp que afecta a todas las versiones anteriores a la 3.19.1. La vulnerabilidad se activa al procesar un archivo zip especialmente manipulado que genera un bucle infinito. Este problema también afecta al módulo zipfile de CPython, ya que las funciones de la librería zipp de terceros se fusionan posteriormente en CPython y el código afectado es idéntico en ambos proyectos. El bucle infinito se puede iniciar mediante el uso de funciones que afectan al módulo `Path` tanto en zipp como en zipfile, como `joinpath`, el operador de división sobrecargado e `iterdir`. Aunque el bucle infinito no agota los recursos, impide que la aplicación responda. La vulnerabilidad se solucionó en la versión 3.19.1 de jaraco/zipp.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2024

Vulnerabilidad en stitionai/devika de GitHub (CVE-2024-5549)
Fecha de publicación:
09/07/2024
Idioma:
Español
Error de validación de origen en el repositorio de GitHub stitionai/devika antes de -.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2025

Vulnerabilidad en Undertow (CVE-2024-3653)
Fecha de publicación:
08/07/2024
Idioma:
Español
Se encontró una vulnerabilidad en Undertow. Este problema requiere habilitar el controlador de aprendizaje-push en la configuración del servidor, que está deshabilitado de forma predeterminada, dejando la configuración maxAge en el controlador sin configurar. El valor predeterminado es -1, lo que hace que el controlador sea vulnerable. Si alguien sobrescribe esa configuración, el servidor no está sujeto al ataque. El atacante debe poder llegar al servidor con una solicitud HTTP normal.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/09/2024

Vulnerabilidad en OpenVPN (CVE-2024-28882)
Fecha de publicación:
08/07/2024
Idioma:
Español
OpenVPN 2.6.10 y versiones anteriores en una función de servidor aceptan múltiples notificaciones de salida de clientes autenticados que extenderán la validez de una sesión de cierre
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en Undici (CVE-2024-38372)
Fecha de publicación:
08/07/2024
Idioma:
Español
Undici es un cliente HTTP/1.1, escrito desde cero para Node.js. Dependiendo de las condiciones de la red y del proceso de una solicitud `fetch()`, `response.arrayBuffer()` podría incluir parte de la memoria del proceso Node.js. Esto ha sido parcheado en v6.19.2.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/07/2024

Vulnerabilidad en Undertow (CVE-2024-5971)
Fecha de publicación:
08/07/2024
Idioma:
Español
Se encontró una vulnerabilidad en Undertow, donde la respuesta fragmentada se suspende después de que se lavó el cuerpo. Los encabezados y el cuerpo de la respuesta se enviaron, pero el cliente continuaría esperando ya que Undertow no envía la terminación 0\r\n esperada de la respuesta fragmentada. Esto da como resultado un consumo descontrolado de recursos, dejando al lado del servidor expuesto a un ataque de denegación de servicio. Esto sucede solo con escenarios Java 17 TLSv1.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/09/2024
Suscribirse a Vulnerabilidades