Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco UCS Central Software (CVE-2024-20280)
Fecha de publicación:
16/10/2024
Idioma:
Español
Una vulnerabilidad en la función de copia de seguridad de Cisco UCS Central Software podría permitir que un atacante con acceso a un archivo de copia de seguridad obtenga información confidencial almacenada en los archivos de copia de seguridad de estado completo y de configuración. Esta vulnerabilidad se debe a una debilidad en el método de cifrado que se utiliza para la función de copia de seguridad. Un atacante podría explotar esta vulnerabilidad accediendo a un archivo de copia de seguridad y aprovechando una clave estática que se utiliza para la función de configuración de copia de seguridad. Una explotación exitosa podría permitir que un atacante con acceso a un archivo de copia de seguridad obtenga información confidencial que se almacena en los archivos de copia de seguridad de estado completo y los archivos de copia de seguridad de configuración, como credenciales de usuario local, contraseñas de servidor de autenticación, nombres de comunidad de Protocolo simple de administración de red (SNMP) y el certificado y la clave del servidor SSL del dispositivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/06/2025

Vulnerabilidad en Cisco ATA serie 190 (CVE-2024-20420)
Fecha de publicación:
16/10/2024
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web del firmware del adaptador telefónico analógico Cisco ATA serie 190 podría permitir que un atacante remoto autenticado con privilegios bajos ejecute comandos como usuario administrador. Esta vulnerabilidad se debe a una verificación de autorización incorrecta por parte del servidor HTTP. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud maliciosa a la interfaz de administración basada en web. Una explotación exitosa podría permitir que el atacante ejecute comandos como usuario administrador.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/10/2024

Vulnerabilidad en Partnerships at Booking.Com Booking.Com Banner Creator (CVE-2024-49265)
Fecha de publicación:
16/10/2024
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Partnerships at Booking.Com Booking.Com Banner Creator permite XSS almacenado. Este problema afecta a Booking.Com Banner Creator: desde n/a hasta 1.4.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/10/2024

Vulnerabilidad en Microchip RN4870 (CVE-2024-29155)
Fecha de publicación:
16/10/2024
Idioma:
Español
En los dispositivos Microchip RN4870, cuando se recibe más de una solicitud PairReqNoInputNoOutput consecutiva, el dispositivo no puede completar el proceso de emparejamiento. Un tercero puede inyectar una segunda solicitud PairReqNoInputNoOutput justo después de una real, lo que hace que la solicitud de emparejamiento se bloquee.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2024

Vulnerabilidad en Docker Desktop (CVE-2024-9348)
Fecha de publicación:
16/10/2024
Idioma:
Español
Docker Desktop anterior a v4.34.3 permite RCE a través de un enlace de origen de GitHub no desinfectado en la vista de compilación.
Gravedad CVSS v4.0: ALTA
Última modificación:
16/10/2024

Vulnerabilidad en Thimo Grauerholz WP-Spreadplugin (CVE-2024-49266)
Fecha de publicación:
16/10/2024
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Thimo Grauerholz WP-Spreadplugin permite XSS almacenado. Este problema afecta a WP-Spreadplugin: desde n/a hasta 4.8.9.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2024

Vulnerabilidad en nayon46 Unlimited Addon For Elementor (CVE-2024-49267)
Fecha de publicación:
16/10/2024
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en nayon46 Unlimited Addon For Elementor permite XSS almacenado. Este problema afecta a Unlimited Addon For Elementor: desde n/a hasta 2.0.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2024

Vulnerabilidad en sunburntkamel disconnected (CVE-2024-49268)
Fecha de publicación:
16/10/2024
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en sunburntkamel disconnected permite XSS reflejado. Este problema afecta a desconectado: desde n/a hasta 1.3.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/10/2024

Vulnerabilidad en F5 Networks (CVE-2024-45844)
Fecha de publicación:
16/10/2024
Idioma:
Español
La función de monitorización de BIG-IP puede permitir que un atacante eluda las restricciones de control de acceso, independientemente de la configuración de bloqueo de puertos. Nota: Las versiones de software que han alcanzado el fin del soporte técnico (EoTS) no se evalúan.
Gravedad CVSS v4.0: ALTA
Última modificación:
21/10/2025

Vulnerabilidad en F5 Networks (CVE-2024-47139)
Fecha de publicación:
16/10/2024
Idioma:
Español
Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en una página no revelada de la utilidad de configuración de BIG-IQ que permite a un atacante con el rol de administrador ejecutar JavaScript en el contexto del usuario que ha iniciado sesión en ese momento. Nota: Las versiones de software que han alcanzado el fin del soporte técnico (EoTS) no se evalúan.
Gravedad CVSS v4.0: MEDIA
Última modificación:
06/08/2025

Vulnerabilidad en PHPGurukul Teachers Record Management System v2.1 (CVE-2024-48744)
Fecha de publicación:
16/10/2024
Idioma:
Español
Se encontró una vulnerabilidad de cross-site scripting (XSS) reflejado en /trms/listed-teachers.php en PHPGurukul Teachers Record Management System v2.1, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST "searchinput".
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2025

Vulnerabilidad en Nextend Social Login Pro para WordPress (CVE-2024-9893)
Fecha de publicación:
16/10/2024
Idioma:
Español
El complemento Nextend Social Login Pro para WordPress es vulnerable a la omisión de la autenticación en todas las versiones hasta la 3.1.14 incluida. Esto se debe a que la verificación del usuario que devuelve el token de inicio de sesión social es insuficiente. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al correo electrónico y el usuario no tiene una cuenta ya existente para el servicio que devuelve el token.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/10/2024
Suscribirse a Vulnerabilidades