Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Directus (CVE-2024-47822)
Fecha de publicación:
08/10/2024
Idioma:
Español
Directus es una API en tiempo real y un panel de control de aplicaciones para administrar el contenido de bases de datos SQL. Los tokens de acceso de las cadenas de consulta no se eliminan y pueden quedar expuestos en registros del sistema que pueden persistir. El token de acceso en `req.query` no se elimina cuando `LOG_STYLE` se establece en `raw`. Si estos registros no se desinfectan o protegen adecuadamente, un atacante con acceso a ellos puede potencialmente obtener control administrativo, lo que lleva al acceso y manipulación de datos no autorizados. Esto afecta a los sistemas donde `LOG_STYLE` se establece en `raw`. El `access_token` en la consulta podría ser potencialmente un token estático de larga duración. Los usuarios con sistemas afectados deben rotar sus tokens estáticos si se les proporcionaron mediante una cadena de consulta. Esta vulnerabilidad se ha corregido en la versión de lanzamiento 10.13.2 y versiones posteriores también. Se recomienda a los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/01/2025

Vulnerabilidad en Livewire (CVE-2024-47823)
Fecha de publicación:
08/10/2024
Idioma:
Español
Livewire es un framework full-stack para Laravel que permite componentes de UI dinámicos sin salir de PHP. En livewire/livewire `< v3.5.2`, la extensión de archivo de un archivo cargado se adivina en función del tipo MIME. Como resultado, la extensión de archivo real del nombre de archivo no se valida. Por lo tanto, un atacante puede eludir la validación cargando un archivo con un tipo MIME válido (por ejemplo, `image/png`) y una extensión de archivo “.php”. Si se cumplen los siguientes criterios, el atacante puede llevar a cabo un ataque RCE: 1. El nombre de archivo está compuesto por el nombre de archivo original utilizando `$file->getClientOriginalName()`. 2. Archivos almacenados directamente en su servidor en un disco de almacenamiento público. 3. El servidor web está configurado para ejecutar archivos “.php”. Este problema se ha solucionado en la versión de lanzamiento 3.5.2. Se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
06/03/2025

Vulnerabilidad en Microsoft Corporation (CVE-2024-43616)
Fecha de publicación:
08/10/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código en Microsoft Office
Gravedad CVSS v3.1: ALTA
Última modificación:
21/10/2024

Vulnerabilidad en PublicCMS V4.0.202406.d (CVE-2024-46410)
Fecha de publicación:
08/10/2024
Idioma:
Español
Se descubrió que PublicCMS V4.0.202406.d contenía una vulnerabilidad de Cross-site Scripting (XSS) a través de una secuencia de comandos manipulada para la función de administración de categorías.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en Discourse (CVE-2024-47773)
Fecha de publicación:
08/10/2024
Idioma:
Español
Discourse es una plataforma de código abierto para debates comunitarios. Un atacante puede realizar varias solicitudes XHR hasta que la caché se envenene con una respuesta sin ningún dato precargado. Este problema solo afecta a los visitantes anónimos del sitio. Este problema se ha solucionado en la última versión de Discourse. Se recomienda a los usuarios que actualicen la versión. Los usuarios que no puedan actualizar la versión deben desactivar la caché anónima configurando la variable de entorno `DISCOURSE_DISABLE_ANON_CACHE` con un valor que no esté vacío.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2025

Vulnerabilidad en TYPO3 (CVE-2024-47780)
Fecha de publicación:
08/10/2024
Idioma:
Español
TYPO3 es un framework de gestión de contenido gratuito y de código abierto. Los usuarios del backend podían ver elementos en el árbol de páginas del backend sin tener acceso si los montajes apuntaban a páginas restringidas para su usuario/grupo, o si no se configuraban montajes pero las páginas permitían el acceso a "todos". Sin embargo, los usuarios afectados no podían manipular estas páginas. Se recomienda a los usuarios que actualicen a las versiones 10.4.46 ELTS, 11.5.40 LTS, 12.4.21 LTS, 13.3.1 de TYPO3 que solucionan el problema descrito. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/09/2025

Vulnerabilidad en Bluetooth Low Energy (BLE) (CVE-2024-46539)
Fecha de publicación:
08/10/2024
Idioma:
Español
Los permisos inseguros en el componente Bluetooth Low Energy (BLE) del reloj inteligente Fire-Boltt Artillery NJ-R6E-10.3 permiten a los atacantes provocar una denegación de servicio (DoS).
Gravedad CVSS v3.1: ALTA
Última modificación:
10/10/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-43609)
Fecha de publicación:
08/10/2024
Idioma:
Español
Vulnerabilidad de suplantación de identidad en Microsoft Office
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/10/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-43611)
Fecha de publicación:
08/10/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código en el Servicio de enrutamiento y acceso remoto de Windows (RRAS)
Gravedad CVSS v3.1: ALTA
Última modificación:
22/10/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-43612)
Fecha de publicación:
08/10/2024
Idioma:
Español
Vulnerabilidad de suplantación de identidad en el servidor de informes de Power BI
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/10/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-43614)
Fecha de publicación:
08/10/2024
Idioma:
Español
Vulnerabilidad de suplantación de Microsoft Defender for Endpoint for Linux
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2025

Vulnerabilidad en Microsoft Corporation (CVE-2024-43615)
Fecha de publicación:
08/10/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código en Microsoft OpenSSH para Windows
Gravedad CVSS v3.1: ALTA
Última modificación:
21/10/2024
Suscribirse a Vulnerabilidades