Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Duktape (CVE-2024-42331)
Fecha de publicación:
27/11/2024
Idioma:
Español
En el archivo src/libs/zbxembed/browser.c, el método es_browser_ctor recupera un puntero de montón del motor JavaScript de Duktape. Este puntero de montón es utilizado posteriormente por el método browser_push_error en el archivo src/libs/zbxembed/browser_error.c. En esta etapa, puede producirse un error de use-after-free si el puntero de montón wd->browser se libera mediante la recolección de elementos no utilizados.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025

Vulnerabilidad en Zabbix (CVE-2024-42332)
Fecha de publicación:
27/11/2024
Idioma:
Español
El investigador demuestra que, debido a la forma en que se analiza el registro de trampas SNMP, un atacante puede manipular una trampa SNMP con líneas de información adicionales y hacer que los datos falsificados se muestren en la interfaz de usuario de Zabbix. Este ataque requiere que la autenticación SNMP esté desactivada o que el atacante conozca los detalles de la comunidad o la autenticación. El ataque requiere que se configure un elemento SNMP como texto en el host de destino.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025

Vulnerabilidad en Zabbix (CVE-2024-42333)
Fecha de publicación:
27/11/2024
Idioma:
Español
El investigador está demostrando que es posible filtrar una pequeña cantidad de memoria del servidor Zabbix mediante una lectura fuera de los límites en src/libs/zbxmedia/email.c
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025

Vulnerabilidad en Zabbix (CVE-2024-36468)
Fecha de publicación:
27/11/2024
Idioma:
Español
La vulnerabilidad informada es un desbordamiento del búfer de pila en la función zbx_snmp_cache_handle_engineid dentro del código del servidor/proxy Zabbix. Este problema ocurre al copiar datos de session->securityEngineID a local_record.engineid sin la verificación de los límites adecuada.
Gravedad CVSS v3.1: BAJA
Última modificación:
08/10/2025

Vulnerabilidad en Zabbix (CVE-2024-42326)
Fecha de publicación:
27/11/2024
Idioma:
Español
Se descubrió un error de use after free en browser.c en la función es_browser_get_variant
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/10/2025

Vulnerabilidad en Zabbix (CVE-2024-42327)
Fecha de publicación:
27/11/2024
Idioma:
Español
Una cuenta de usuario que no sea administrador en la interfaz de Zabbix con el rol de usuario predeterminado o con cualquier otro rol que proporcione acceso a la API puede aprovechar esta vulnerabilidad. Existe una SQLi en la clase CUser en la función addRelatedObjects; esta función se llama desde la función CUser.get, que está disponible para todos los usuarios que tienen acceso a la API.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/10/2025

Vulnerabilidad en Zabbix (CVE-2024-42328)
Fecha de publicación:
27/11/2024
Idioma:
Español
Cuando el controlador web del objeto Browser descarga datos de un servidor HTTP, el puntero de datos se establece en NULL y se asigna solo en curl_write_cb cuando se reciben datos. Si la respuesta del servidor es un documento vacío, entonces wd->data en el código a continuación permanecerá en NULL y un intento de leerlo provocará un bloqueo.
Gravedad CVSS v3.1: BAJA
Última modificación:
08/10/2025

Vulnerabilidad en Zabbix (CVE-2024-42329)
Fecha de publicación:
27/11/2024
Idioma:
Español
El controlador web del objeto Browser espera que se inicialice un objeto de error cuando falla la función webdriver_session_query. Sin embargo, esta función puede fallar por diversos motivos sin una descripción del error y, en ese caso, wd->error será NULL y, al intentar leerlo, se producirá un bloqueo.
Gravedad CVSS v3.1: BAJA
Última modificación:
08/10/2025

Vulnerabilidad en Internal Linking for SEO traffic & Ranking – Auto internal links para WordPress (CVE-2024-11009)
Fecha de publicación:
27/11/2024
Idioma:
Español
El complemento Internal Linking for SEO traffic & Ranking – Auto internal links (100% automatic) para WordPress es vulnerable a la inyección SQL basada en tiempo a través del parámetro 'post_id' en todas las versiones hasta la 1.2.1 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que los atacantes autenticados, con acceso de nivel de administrador o superior, agreguen consultas SQL adicionales a las consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/11/2024

Vulnerabilidad en SMA Solar Technology AG (CVE-2024-11025)
Fecha de publicación:
27/11/2024
Idioma:
Español
Un atacante autenticado con bajos privilegios puede utilizar una vulnerabilidad de inyección SQL en el panel de administración de los productos afectados para obtener acceso de lectura y escritura a un archivo de registro específico del dispositivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/11/2024

Vulnerabilidad en WordPress Contact Forms de Cimatti para WordPress (CVE-2024-10521)
Fecha de publicación:
27/11/2024
Idioma:
Español
El complemento WordPress Contact Forms de Cimatti para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.9.2 incluida. Esto se debe a la falta o la validación incorrecta de nonce en la función process_bulk_action. Esto permite que atacantes no autenticados eliminen formularios a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/03/2025

Vulnerabilidad en Zohocorp ManageEngine Analytics Plus (CVE-2024-52323)
Fecha de publicación:
27/11/2024
Idioma:
Español
Las versiones de Zohocorp ManageEngine Analytics Plus anteriores a 6100 son vulnerables a la exposición de datos confidenciales autenticados, lo que permite a los usuarios recuperar tokens confidenciales asociados a la cuenta de administrador de la organización.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2025
Suscribirse a Vulnerabilidades