Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en mlflow/mlflow (CVE-2024-6838)
Fecha de publicación:
20/03/2025
Idioma:
Español
En mlflow/mlflow versión v2.13.2, existe una vulnerabilidad que permite crear o renombrar un experimento con una gran cantidad de enteros debido a la falta de un límite en el nombre del experimento. Esto puede provocar que el panel de interfaz de usuario de MLflow deje de responder, lo que puede provocar una denegación de servicio. Además, no hay límite de caracteres en el parámetro `artifact_location` al crear el experimento.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2025

Vulnerabilidad en vanna-ai/vanna (CVE-2024-6841)
Fecha de publicación:
20/03/2025
Idioma:
Español
Existe una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el último commit (56b782bcefd2e59b19cd7ba7878b95f54884f502) del repositorio vanna-ai/vanna. Dos endpoints de la aplicación web integrada que proporcionan funcionalidad SQL se implementan como solicitudes GET simples, lo que los hace vulnerables a ataques CSRF. Esta vulnerabilidad permite a un atacante ejecutar comandos SQL arbitrarios mediante CSRF sin que el objetivo pretenda exponer la aplicación web a la red ni a otros usuarios. El impacto se limita a la alteración o eliminación de datos, ya que el atacante no puede leer los resultados de la consulta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2025

Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-6842)
Fecha de publicación:
20/03/2025
Idioma:
Español
En la versión 1.5.5 de mintplex-labs/anything-llm, el endpoint de la API `/setup-complete` permite a usuarios no autorizados acceder a la configuración confidencial del sistema. Los datos devueltos por la función `currentSettings` incluyen información confidencial, como claves de API para motores de búsqueda, que pueden ser explotadas por atacantes para robar estas claves y causar la pérdida de activos del usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2025

Vulnerabilidad en corydolphin/flask-cors (CVE-2024-6839)
Fecha de publicación:
20/03/2025
Idioma:
Español
La versión 4.0.1 de corydolphin/flask-cors contiene una vulnerabilidad de coincidencia incorrecta de rutas de expresiones regulares. El complemento prioriza los patrones de expresiones regulares más largos sobre los más específicos al comparar rutas, lo que puede provocar la aplicación de políticas CORS menos restrictivas a endpoints sensibles. Esta discrepancia en la prioridad de los patrones de expresiones regulares permite el acceso no autorizado de origen cruzado a datos o funcionalidades sensibles, lo que podría exponer información confidencial y aumentar el riesgo de acciones no autorizadas por parte de actores maliciosos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en pytorch/serve (CVE-2024-6577)
Fecha de publicación:
20/03/2025
Idioma:
Español
En la última versión de pytorch/serve, el script 'upload_results_to_s3.sh' hace referencia al bucket de S3 'benchmarkai-metrics-prod' sin garantizar su propiedad ni confirmar su accesibilidad. Esto podría generar vulnerabilidades de seguridad o acceso no autorizado al bucket si no está protegido correctamente o no es reclamado por la entidad correspondiente. El problema puede provocar filtraciones de datos, exposición de información confidencial o modificaciones no autorizadas de los datos almacenados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2025

Vulnerabilidad en run-llama/llama_index (CVE-2024-12911)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad en la función `default_jsonalyzer` del `JSONalyzeQueryEngine` del repositorio run-llama/llama_index permite la inyección de SQL mediante la inyección de prompts. Esto puede provocar la creación arbitraria de archivos y ataques de denegación de servicio (DoS). La vulnerabilidad afecta a la última versión y está corregida en la versión 0.5.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2025

Vulnerabilidad en AnythingLLM (CVE-2024-13060)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad en la versión 1.3.1 de Docker de AnythingLLM permite a los usuarios con el permiso "Predeterminado" acceder a las fotos de perfil de otros usuarios modificando el parámetro "id" en la cookie de usuario. Este problema está presente en versiones anteriores a la 1.3.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025

Vulnerabilidad en huntr.dev (CVE-2024-2292)
Fecha de publicación:
20/03/2025
Idioma:
Español
Debido a la falta de control de acceso, usuarios no autorizados pueden ver y modificar información perteneciente a otros usuarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2025

Vulnerabilidad en flatpressblog/flatpress (CVE-2024-4023)
Fecha de publicación:
20/03/2025
Idioma:
Español
Existe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en flatpressblog/flatpress versión 1.3. Cuando un usuario sube un archivo con la extensión `.xsig` y accede directamente a él, el servidor responde con un tipo de contenido de application/octet-stream, lo que hace que el archivo se procese como un archivo HTML. Esto permite a un atacante ejecutar código JavaScript arbitrario, que puede utilizarse para robar cookies de usuario, realizar solicitudes HTTP y acceder a contenido del mismo origen.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/06/2025

Vulnerabilidad en yiisoft/yii2 (CVE-2024-4990)
Fecha de publicación:
20/03/2025
Idioma:
Español
En la versión 2.0.48 de yiisoft/yii2, la clase base Component contiene una vulnerabilidad donde el método mágico `__set()` no valida que el valor pasado sea un nombre o configuración de clase de comportamiento válido. Esto permite a un atacante instanciar clases arbitrarias, pasando parámetros a sus constructores e invocando métodos setter. Dependiendo de las dependencias instaladas, son posibles varios tipos de ataques, incluyendo la ejecución de código arbitrario, la recuperación de información confidencial y el acceso no autorizado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/04/2025

Vulnerabilidad en stitionai/devika (CVE-2024-5752)
Fecha de publicación:
20/03/2025
Idioma:
Español
Existe una vulnerabilidad de path traversal en stitionai/devika, específicamente en la función de creación de proyectos. En la versión afectada (beacf6edaa205a5a5370525407a6db45137873b3), el nombre del proyecto no está validado, lo que permite a un atacante crear un proyecto con un nombre manipulado que recorra directorios. Esto puede provocar la sobrescritura arbitraria de archivos cuando la aplicación genera código y lo guarda en el directorio de proyecto especificado, lo que podría provocar la ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/03/2025

Vulnerabilidad en aimhubio/aim (CVE-2024-6483)
Fecha de publicación:
20/03/2025
Idioma:
Español
Una vulnerabilidad en el endpoint `runs/delete-batch` de aimhubio/aim versión 3.19.3 permite la eliminación arbitraria de archivos o directorios mediante path traversal. El endpoint no mitiga path traversal al gestionar nombres de ejecución especificados por el usuario, que se utilizan para especificar los archivos de registro/metadatos que se eliminarán. Esto puede explotarse para eliminar archivos o directorios arbitrarios, lo que podría causar una denegación de servicio o pérdida de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/07/2025
Suscribirse a Vulnerabilidades