Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Wavelog 1.8.5 (CVE-2024-48251)
Fecha de publicación:
14/10/2024
Idioma:
Español
Wavelog 1.8.5 permite la inyección SQL get_band_confirmed de Activated_gridmap_model.php mediante banda, satélite, propagación o modo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/10/2024

Vulnerabilidad en Wavelog 1.8.5 (CVE-2024-48257)
Fecha de publicación:
14/10/2024
Idioma:
Español
Wavelog 1.8.5 permite la inyección SQL de Oqrs_model.php get_worked_modes station_id.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/10/2024

Vulnerabilidad en Rockwell Automation (CVE-2024-7847)
Fecha de publicación:
14/10/2024
Idioma:
Español
DETALLES DE LA VULNERABILIDAD Rockwell Automation utilizó las últimas versiones del sistema de puntuación CVSS para evaluar las siguientes vulnerabilidades. Sharon Brizinov de Claroty Research - Team82 nos informó sobre las siguientes vulnerabilidades. Una característica de los productos afectados permite a los usuarios preparar un archivo de proyecto con un script VBA integrado y se puede configurar para que se ejecute una vez que se haya abierto el archivo de proyecto sin intervención del usuario. Esta característica se puede utilizar de forma abusiva para engañar a un usuario legítimo para que ejecute código malicioso al abrir un archivo de proyecto RSP/RSS infectado. Si se explota, un actor de amenazas puede realizar una ejecución remota de código. Los dispositivos conectados también pueden verse afectados por la explotación de esta vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
29/09/2025

Vulnerabilidad en Switzerland Government Common Vulnerability Program (CVE-2024-8602)
Fecha de publicación:
14/10/2024
Idioma:
Español
Cuando se lee el XML de los códigos en el PDF y se analiza utilizando un DocumentBuilder, la configuración predeterminada de DocumentBuilder permite un ataque XXE (XML External Entity). Puede encontrar más información sobre esto en el sitio web del Proyecto de seguridad de aplicaciones abierto a nivel mundial (OWASP). En teoría, un atacante podría aprovechar esto entregando un archivo PDF manipulado al objetivo y, según el entorno, se pueden ejecutar varias acciones. Estas acciones incluyen: * Leer archivos del sistema operativo * Bloquear el hilo que maneja el análisis o hacer que entre en un bucle infinito * Ejecutar solicitudes HTTP * Cargar archivos DTD o XML adicionales * Bajo ciertas condiciones, ejecutar comandos del sistema operativo
Gravedad CVSS v4.0: MEDIA
Última modificación:
11/12/2024

Vulnerabilidad en Firefox (CVE-2024-9936)
Fecha de publicación:
14/10/2024
Idioma:
Español
Al manipular la caché del nodo de selección, un atacante podría haber provocado un comportamiento inesperado, lo que podría derivar en un bloqueo explotable. Esta vulnerabilidad afecta a Firefox < 131.0.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2025

Vulnerabilidad en Vtiger CRM v8.2.0 (CVE-2024-48119)
Fecha de publicación:
14/10/2024
Idioma:
Español
Vtiger CRM v8.2.0 tiene una vulnerabilidad de inyección de HTML en el parámetro del módulo. Los usuarios autenticados pueden inyectar HTML arbitrario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/10/2024

Vulnerabilidad en X2CRM v8.5 (CVE-2024-48120)
Fecha de publicación:
14/10/2024
Idioma:
Español
X2CRM v8.5 es vulnerable a un ataque Cross-Site Scripting (XSS) almacenado en el módulo "Oportunidades". Un atacante puede inyectar código JavaScript malicioso en el campo "Nombre" al crear una lista.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/10/2024

Vulnerabilidad en Cloudlog 2.6.15 (CVE-2024-48253)
Fecha de publicación:
14/10/2024
Idioma:
Español
Cloudlog 2.6.15 permite la inyección SQL del identificador delete_oqrs_line de Oqrs.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/10/2024

Vulnerabilidad en Cloudlog 2.6.15 (CVE-2024-48255)
Fecha de publicación:
14/10/2024
Idioma:
Español
Cloudlog 2.6.15 permite la inyección SQL de Oqrs.php get_station_info station_id.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/10/2024

Vulnerabilidad en imaginationtech (CVE-2024-43701)
Fecha de publicación:
14/10/2024
Idioma:
Español
El software instalado y ejecutado como un usuario sin privilegios puede realizar llamadas al sistema de GPU para leer y escribir la memoria física liberada de la GPU.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2024

Vulnerabilidad en Apache Roller (CVE-2024-46911)
Fecha de publicación:
14/10/2024
Idioma:
Español
Vulnerabilidad de escalada de privilegios por Cross-site Resource Forgery (CSRF) en Apache Roller. En los sitios web de Roller con varios blogs y usuarios, por defecto, se confía en los propietarios de los blogs para que publiquen contenido arbitrario en los blogs y esto, combinado con una deficiencia en las protecciones CSRF de Roller, permitió un ataque de escalada de privilegios. Este problema afecta a Apache Roller anterior a la versión 6.1.4. Se recomienda a los usuarios de Roller que ejecutan sitios web de Roller con varios blogs y usuarios que actualicen a la versión 6.1.4, que soluciona el problema. Anuncio de lanzamiento de Roller 6.1.4: https://lists.apache.org/thread/3c3f6rwqptyw6wdc95654fq5vlosqdpw
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2025

Vulnerabilidad en Moxa (CVE-2024-9137)
Fecha de publicación:
14/10/2024
Idioma:
Español
El producto afectado carece de una comprobación de autenticación al enviar comandos al servidor a través del servicio Moxa. Esta vulnerabilidad permite a un atacante ejecutar comandos específicos, lo que puede provocar descargas o cargas no autorizadas de archivos de configuración y comprometer el sistema.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/01/2025
Suscribirse a Vulnerabilidades