Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenVidReview 1.0 (CVE-2024-46054)
Fecha de publicación:
27/11/2024
Idioma:
Español
OpenVidReview 1.0 es vulnerable a un control de acceso incorrecto. La ruta /upload es accesible sin autenticación, lo que permite que cualquier usuario cargue archivos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/05/2025

Vulnerabilidad en OpenVidReview 1.0 (CVE-2024-46055)
Fecha de publicación:
27/11/2024
Idioma:
Español
OpenVidReview 1.0 es vulnerable a Cross Site Scripting (XSS) en los nombres de las reseñas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/05/2025

Vulnerabilidad en Omada Identity (CVE-2024-52951)
Fecha de publicación:
27/11/2024
Idioma:
Español
Cross-Site Scripting Almacenado en el historial de solicitudes de acceso en Omada Identity antes de la versión 15, actualización 1, permiten que un atacante autenticado ejecute código arbitrario en el navegador de una víctima a través de un enlace especialmente manipulado o al ver un historial de solicitudes de acceso manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/11/2024

Vulnerabilidad en elisp-mode.el de GNU Emacs (CVE-2024-53920)
Fecha de publicación:
27/11/2024
Idioma:
Español
En elisp-mode.el de GNU Emacs hasta la versión 30.0.92, un usuario que elija invocar elisp-completion-at-point (para completar el código) en código fuente de Emacs Lisp que no sea de confianza puede desencadenar una expansión de macros de Lisp no segura que permita a los atacantes ejecutar código arbitrario. (Esta expansión no segura también ocurre si un usuario elige habilitar el diagnóstico sobre la marcha de que byte compila código fuente de Emacs Lisp que no es de confianza).
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en Devolutions.XTS.NET 2024.11.19 (CVE-2024-11862)
Fecha de publicación:
27/11/2024
Idioma:
Español
La operación criptográfica de tiempo no constante en Devolutions.XTS.NET 2024.11.19 y versiones anteriores permite que un atacante haga obsoleta la mitad de la clave de cifrado mediante ataques de tiempo.
Gravedad CVSS v4.0: MEDIA
Última modificación:
27/11/2024

Vulnerabilidad en PHPGurukul COVID 19 Testing Management System v1.0 (CVE-2024-53604)
Fecha de publicación:
27/11/2024
Idioma:
Español
Se encontró una vulnerabilidad de inyección SQL en /covid-tms/check_availability.php en PHPGurukul COVID 19 Testing Management System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST mobnumber.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/03/2025

Vulnerabilidad en PHPGurukul COVID 19 Testing Management System v1.0 (CVE-2024-53635)
Fecha de publicación:
27/11/2024
Idioma:
Español
Se encontró una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en /covid-tms/patient-search-report.php en PHPGurukul COVID 19 Testing Management System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST searchdata.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/04/2025

Vulnerabilidad en PHPGurukul COVID 19 Testing Management System v1.0 (CVE-2024-53603)
Fecha de publicación:
27/11/2024
Idioma:
Español
Se encontró una vulnerabilidad de inyección SQL en /covid-tms/password-recovery.php en PHPGurukul COVID 19 Testing Management System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST contactno.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2025

Vulnerabilidad en Zabbix (CVE-2024-36464)
Fecha de publicación:
27/11/2024
Idioma:
Español
Al exportar tipos de medios, la contraseña se exporta en el YAML en texto plano. Esto parece ser un problema de tipo de mejores prácticas y es posible que no tenga un impacto real. El usuario necesitaría tener permisos para acceder a los tipos de medios y, por lo tanto, se esperaría que tuviera acceso a estas contraseñas.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025

Vulnerabilidad en Zabbix (CVE-2024-42330)
Fecha de publicación:
27/11/2024
Idioma:
Español
El objeto HttpRequest permite obtener los encabezados HTTP de la respuesta del servidor después de enviar la solicitud. El problema es que las cadenas devueltas se crean directamente a partir de los datos devueltos por el servidor y no están codificadas correctamente para JavaScript. Esto permite crear cadenas internas que se pueden usar para acceder a propiedades ocultas de los objetos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/11/2025

Vulnerabilidad en Duktape (CVE-2024-42331)
Fecha de publicación:
27/11/2024
Idioma:
Español
En el archivo src/libs/zbxembed/browser.c, el método es_browser_ctor recupera un puntero de montón del motor JavaScript de Duktape. Este puntero de montón es utilizado posteriormente por el método browser_push_error en el archivo src/libs/zbxembed/browser_error.c. En esta etapa, puede producirse un error de use-after-free si el puntero de montón wd->browser se libera mediante la recolección de elementos no utilizados.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025

Vulnerabilidad en Zabbix (CVE-2024-42332)
Fecha de publicación:
27/11/2024
Idioma:
Español
El investigador demuestra que, debido a la forma en que se analiza el registro de trampas SNMP, un atacante puede manipular una trampa SNMP con líneas de información adicionales y hacer que los datos falsificados se muestren en la interfaz de usuario de Zabbix. Este ataque requiere que la autenticación SNMP esté desactivada o que el atacante conozca los detalles de la comunidad o la autenticación. El ataque requiere que se configure un elemento SNMP como texto en el host de destino.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025
Suscribirse a Vulnerabilidades