Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en pytorch/serve (CVE-2024-6577)
Fecha de publicación:
20/03/2025
Idioma:
Español
En la última versión de pytorch/serve, el script 'upload_results_to_s3.sh' hace referencia al bucket de S3 'benchmarkai-metrics-prod' sin garantizar su propiedad ni confirmar su accesibilidad. Esto podría generar vulnerabilidades de seguridad o acceso no autorizado al bucket si no está protegido correctamente o no es reclamado por la entidad correspondiente. El problema puede provocar filtraciones de datos, exposición de información confidencial o modificaciones no autorizadas de los datos almacenados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2025

Vulnerabilidad en run-llama/llama_index (CVE-2024-12911)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad en la función `default_jsonalyzer` del `JSONalyzeQueryEngine` del repositorio run-llama/llama_index permite la inyección de SQL mediante la inyección de prompts. Esto puede provocar la creación arbitraria de archivos y ataques de denegación de servicio (DoS). La vulnerabilidad afecta a la última versión y está corregida en la versión 0.5.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2025

Vulnerabilidad en AnythingLLM (CVE-2024-13060)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad en la versión 1.3.1 de Docker de AnythingLLM permite a los usuarios con el permiso "Predeterminado" acceder a las fotos de perfil de otros usuarios modificando el parámetro "id" en la cookie de usuario. Este problema está presente en versiones anteriores a la 1.3.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025

Vulnerabilidad en huntr.dev (CVE-2024-2292)
Fecha de publicación:
20/03/2025
Idioma:
Español
Debido a la falta de control de acceso, usuarios no autorizados pueden ver y modificar información perteneciente a otros usuarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2025

Vulnerabilidad en flatpressblog/flatpress (CVE-2024-4023)
Fecha de publicación:
20/03/2025
Idioma:
Español
Existe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en flatpressblog/flatpress versión 1.3. Cuando un usuario sube un archivo con la extensión `.xsig` y accede directamente a él, el servidor responde con un tipo de contenido de application/octet-stream, lo que hace que el archivo se procese como un archivo HTML. Esto permite a un atacante ejecutar código JavaScript arbitrario, que puede utilizarse para robar cookies de usuario, realizar solicitudes HTTP y acceder a contenido del mismo origen.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/06/2025

Vulnerabilidad en yiisoft/yii2 (CVE-2024-4990)
Fecha de publicación:
20/03/2025
Idioma:
Español
En la versión 2.0.48 de yiisoft/yii2, la clase base Component contiene una vulnerabilidad donde el método mágico `__set()` no valida que el valor pasado sea un nombre o configuración de clase de comportamiento válido. Esto permite a un atacante instanciar clases arbitrarias, pasando parámetros a sus constructores e invocando métodos setter. Dependiendo de las dependencias instaladas, son posibles varios tipos de ataques, incluyendo la ejecución de código arbitrario, la recuperación de información confidencial y el acceso no autorizado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/04/2025

Vulnerabilidad en stitionai/devika (CVE-2024-5752)
Fecha de publicación:
20/03/2025
Idioma:
Español
Existe una vulnerabilidad de path traversal en stitionai/devika, específicamente en la función de creación de proyectos. En la versión afectada (beacf6edaa205a5a5370525407a6db45137873b3), el nombre del proyecto no está validado, lo que permite a un atacante crear un proyecto con un nombre manipulado que recorra directorios. Esto puede provocar la sobrescritura arbitraria de archivos cuando la aplicación genera código y lo guarda en el directorio de proyecto especificado, lo que podría provocar la ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/03/2025

Vulnerabilidad en aimhubio/aim (CVE-2024-6483)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad en el endpoint `runs/delete-batch` de aimhubio/aim versión 3.19.3 permite la eliminación arbitraria de archivos o directorios mediante path traversal. El endpoint no mitiga path traversal al gestionar nombres de ejecución especificados por el usuario, que se utilizan para especificar los archivos de registro/metadatos que se eliminarán. Esto puede explotarse para eliminar archivos o directorios arbitrarios, lo que podría causar una denegación de servicio o pérdida de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/07/2025

Vulnerabilidad en infiniflow/ragflow (CVE-2024-12869)
Fecha de publicación:
20/03/2025
Idioma:
Español
En la versión v0.12.0 de infiniflow/ragflow, existe una vulnerabilidad de autenticación incorrecta que permite a un usuario ver la lista de invitados de otro. Esto puede provocar una vulneración de la privacidad, donde la información personal o privada de los usuarios, como sus direcciones de correo electrónico o nombres de usuario en la lista de invitados, podría quedar expuesta sin su consentimiento. Esta filtración de datos puede facilitar nuevos ataques, como phishing o spam, y provocar la pérdida de confianza y posibles problemas regulatorios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025

Vulnerabilidad en infiniflow/ragflow (CVE-2024-12870)
Fecha de publicación:
20/03/2025
Idioma:
Español
Existe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en infiniflow/ragflow, que afecta a la última confirmación de la rama principal (cec2080). Esta vulnerabilidad permite a un atacante cargar archivos HTML/XML que pueden alojar payloads de JavaScript arbitrarias. Estos archivos se entregan con el tipo de contenido 'application/xml', que los navegadores procesan automáticamente. Esto puede provocar la ejecución de JavaScript arbitrario en el contexto del navegador del usuario, lo que podría permitir a los atacantes robar cookies y obtener acceso no autorizado a los archivos y recursos del usuario. La vulnerabilidad no requiere autenticación, por lo que es accesible para cualquier persona con acceso a la red de la instancia.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2025

Vulnerabilidad en infiniflow/ragflow (CVE-2024-12871)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad XSS en infiniflow/ragflow versión 0.12.0 permite a un atacante subir un archivo PDF malicioso a la base de conocimientos. Al visualizar el archivo en Ragflow, el payload se ejecuta en el contexto del navegador del usuario. Esto puede provocar el secuestro de sesión, la exfiltración de datos o acciones no autorizadas realizadas en nombre de la víctima, comprometiendo datos confidenciales del usuario y afectando la integridad de toda la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2025

Vulnerabilidad en RAGFlow-0.13.0 de infiniflow/ragflow (CVE-2024-12880)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad en la versión RAGFlow-0.13.0 de infiniflow/ragflow permite la apropiación parcial de cuentas mediante consultas de datos inseguras. El problema surge de la forma en que se gestionan los ID de inquilino en la aplicación. Si un usuario tiene acceso a varios inquilinos, puede manipular su acceso para consultar y acceder a los tokens de API de otros inquilinos. Esta vulnerabilidad afecta a los siguientes endpoints: /v1/system/token_list, /v1/system/new_token, /v1/api/token_list, /v1/api/new_token y /v1/api/rm. Un atacante puede explotar esto para acceder a los tokens de API de otros inquilinos, realizar acciones en su nombre y acceder a sus datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025
Suscribirse a Vulnerabilidades