Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Linksys E8450 v1.2.00.360516 (CVE-2024-57539)
Fecha de publicación:
21/01/2025
Idioma:
Español
Se descubrió que Linksys E8450 v1.2.00.360516 contenía una vulnerabilidad de inyección de comandos a través de userEmail.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/04/2025

Vulnerabilidad en JD Edwards EnterpriseOne Tools de Oracle JD Edwards (CVE-2024-21245)
Fecha de publicación:
21/01/2025
Idioma:
Español
Vulnerabilidad en el producto JD Edwards EnterpriseOne Tools de Oracle JD Edwards (componente: Business Logic Infra SEC). Las versiones compatibles afectadas son anteriores a la 9.2.9.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP ponga en peligro JD Edwards EnterpriseOne Tools. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad se encuentra en JD Edwards EnterpriseOne Tools, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la actualización, inserción o eliminación no autorizada de algunos datos accesibles de JD Edwards EnterpriseOne Tools, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de JD Edwards EnterpriseOne Tools. Puntuación base CVSS 3.1 5,4 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2025

Vulnerabilidad en OrangeScrum v2.0.11 (CVE-2024-48392)
Fecha de publicación:
21/01/2025
Idioma:
Español
OrangeScrum v2.0.11 es vulnerable a Cross Site Scripting (XSS). Un atacante puede inyectar código JavaScript malicioso en el correo electrónico del usuario debido a la falta de validación de entrada, lo que podría provocar el robo de la cuenta.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/09/2025

Vulnerabilidad en Mjolnir (CVE-2025-24024)
Fecha de publicación:
21/01/2025
Idioma:
Español
Mjolnir es una herramienta de moderación para Matrix. Mjolnir v1.9.0 responde a los comandos de administración desde cualquier sala de la que sea miembro el bot. Esto puede permitir que los usuarios que no sean operadores del bot utilicen las funciones del bot y los componentes de administración del servidor incluida si están habilitados. La versión 1.9.1 revierte la función que introdujo el error y la versión 1.9.2 reintroduce la función de forma segura. Se recomienda cambiar a la versión 1.8.3 si no es posible actualizar a la 1.9.1 o una versión superior.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2025

Vulnerabilidad en Homarr (CVE-2023-45908)
Fecha de publicación:
21/01/2025
Idioma:
Español
Se descubrió que Homarr anterior a v0.14.0 contenía una vulnerabilidad Cross-Site Scripting Almacenado (XSS) a través del widget Notebook.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/01/2025

Vulnerabilidad en mqlink.elf en Ruijie RG-EW300N (CVE-2024-42936)
Fecha de publicación:
21/01/2025
Idioma:
Español
El componente de servicio mqlink.elf en Ruijie RG-EW300N con firmware ReyeeOS 1.300.1422 es vulnerable a la ejecución remota de código a través de un mensaje de agente MQTT modificado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/12/2025

Vulnerabilidad en GitHub Enterprise Server (CVE-2025-23369)
Fecha de publicación:
21/01/2025
Idioma:
Español
Se identificó una vulnerabilidad de verificación incorrecta de la firma criptográfica en GitHub Enterprise Server que permitía la suplantación de firmas para usuarios internos no autorizados. Las instancias que no utilizaban el inicio de sesión único SAML o en las que el atacante no era un usuario existente no se vieron afectadas. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a 3.12.14, 3.13.10, 3.14.7, 3.15.2 y 3.16.0. Esta vulnerabilidad se informó a través del programa de recompensas por errores de GitHub.
Gravedad CVSS v4.0: ALTA
Última modificación:
05/09/2025

Vulnerabilidad en RAR Extractor - Unarchiver Free and Pro v.6.4.0 (CVE-2024-55504)
Fecha de publicación:
21/01/2025
Idioma:
Español
Un problema en RAR Extractor - Unarchiver Free and Pro v.6.4.0 permite a atacantes locales inyectar código arbitrario que potencialmente conduce al control remoto y acceso no autorizado a datos confidenciales del usuario a través del componente exploit_combined.dylib en MacOS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

Vulnerabilidad en System.Linq.Dynamic.Core (CVE-2024-51417)
Fecha de publicación:
21/01/2025
Idioma:
Español
Un problema en System.Linq.Dynamic.Core La última versión v.1.4.6 permite el acceso remoto a propiedades en tipos de reflexión y propiedades/campos estáticos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

Vulnerabilidad en JetBrains TeamCity (CVE-2025-24460)
Fecha de publicación:
21/01/2025
Idioma:
Español
En JetBrains TeamCity antes del 1 de diciembre de 2024, un control de acceso incorrecto permitía ver los nombres de los proyectos en el grupo de agentes
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2025

Vulnerabilidad en JetBrains TeamCity (CVE-2025-24461)
Fecha de publicación:
21/01/2025
Idioma:
Español
En JetBrains TeamCity antes de 2024.12.1 era posible descifrar secretos de conexión sin los permisos adecuados a través de Conexión de prueba endpoint
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2025

Vulnerabilidad en WeGIA (CVE-2025-24020)
Fecha de publicación:
21/01/2025
Idioma:
Español
WeGIA es un gestor web para instituciones benéficas. Se ha identificado una vulnerabilidad de Open Redirect en el `control.php` endpoint de las versiones hasta incluida 3.2.10 de la aplicación WeGIA. La vulnerabilidad permite manipular el parámetro `nextPage`, redirigiendo a los usuarios autenticados a URL externas arbitrarias sin validación. El problema surge de la falta de validación del parámetro `nextPage`, que acepta URL externas como destinos de redirección. Esta vulnerabilidad puede explotarse para realizar ataques de phishing o redirigir a los usuarios a sitios web maliciosos. La versión 3.2.11 contiene una solución para el problema.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/02/2025
Suscribirse a Vulnerabilidades