Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Ever Traduora (CVE-2024-53484)
Fecha de publicación:
02/12/2024
Idioma:
Español
Ever Traduora 0.20.0 y versiones anteriores son vulnerables a la escalada de privilegios debido al uso de una clave de firma JWT codificada.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2024

Vulnerabilidad en LibrePhotos (CVE-2024-53617)
Fecha de publicación:
02/12/2024
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting en LibrePhotos antes de el commit 32237 permite a los atacantes tomar control de cualquier cuenta mediante la carga de un archivo HTML en nombre del usuario administrador usando IDOR en la carga del archivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/12/2024

Vulnerabilidad en freepbx v17.0.19.17 (CVE-2024-53564)
Fecha de publicación:
02/12/2024
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitrarios autenticados en el componente /module_admin/upload.php de freepbx v17.0.19.17 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo manipulado específicamente.
Gravedad CVSS v3.1: BAJA
Última modificación:
23/09/2025

Vulnerabilidad en Sangoma Asterisk (CVE-2024-53566)
Fecha de publicación:
02/12/2024
Idioma:
Español
Un problema en la función action_listcategories() de Sangoma Asterisk v22/22.0.0/22.0.0-rc1/22.0.0-rc2/22.0.0-pre1 permite a los atacantes ejecutar un path traversal.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/02/2025

Vulnerabilidad en AsyncHttpClient (AHC) (CVE-2024-53990)
Fecha de publicación:
02/12/2024
Idioma:
Español
La librería AsyncHttpClient (AHC) permite que las aplicaciones Java ejecuten fácilmente solicitudes HTTP y procesen de forma asincrónica las respuestas HTTP. Al realizar una solicitud HTTP, el CookieStore (también conocido como contenedor de cookies) habilitado automáticamente y autoadministrado reemplazará silenciosamente las Cookies definidas explícitamente por cualquier cookie que tenga el mismo nombre del contenedor de cookies. En el caso de los servicios que funcionan con varios usuarios, esto puede provocar que la Cookie de un usuario se utilice para las solicitudes de otro usuario.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
02/12/2024

Vulnerabilidad en unzip-bot (CVE-2024-53992)
Fecha de publicación:
02/12/2024
Idioma:
Español
unzip-bot es un bot de Telegram que extrae distintos tipos de archivos. Los usuarios podrían aprovechar las entradas no desinfectadas para inyectar comandos maliciosos que se ejecutan a través de subprocess.Popen con shell=True. Los atacantes pueden aprovechar esta vulnerabilidad utilizando un nombre de archivo, una contraseña o un nombre de video manipulados. Esta vulnerabilidad se corrigió en la versión 7.0.3a.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/12/2024

Vulnerabilidad en OVRC de Snap One (CVE-2024-50381)
Fecha de publicación:
02/12/2024
Idioma:
Español
Existe una vulnerabilidad en la nube OVRC de Snap One en la que un atacante puede hacerse pasar por un dispositivo Hub y enviar solicitudes para reclamar y cancelar la reclamación de dispositivos. El atacante solo necesita proporcionar la dirección MAC del dispositivo en cuestión y puede realizar una solicitud para cancelar la reclamación de su conexión original y realizar una solicitud para reclamarlo.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/12/2024

Vulnerabilidad en SimpleSAMLphp xml-common (CVE-2024-52596)
Fecha de publicación:
02/12/2024
Idioma:
Español
SimpleSAMLphp xml-common es una clase común para manejar estructuras XML. Al cargar un documento XML (no confiable), por ejemplo SAMLResponse, es posible inducir un XXE. Esta vulnerabilidad se solucionó en la versión 1.19.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/12/2024

Vulnerabilidad en SAML2 SimpleSAMLphp (CVE-2024-52806)
Fecha de publicación:
02/12/2024
Idioma:
Español
La librería SAML2 SimpleSAMLphp es una librería PHP para funciones relacionadas con SAML2. Al cargar un documento XML (no confiable), por ejemplo, SAMLResponse, es posible inducir un XXE. Esta vulnerabilidad se solucionó en 4.6.14 y 5.0.0-alpha.18.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/12/2024

Vulnerabilidad en quic-go (CVE-2024-53259)
Fecha de publicación:
02/12/2024
Idioma:
Español
quic-go es una implementación del protocolo QUIC en Go. Un atacante que no se encuentre en la ruta de acceso puede inyectar un paquete ICMP de tamaño excesivo. Dado que las versiones de quic-go afectadas utilizan IP_PMTUDISC_DO, el núcleo devolvería un error de "mensaje demasiado grande" en sendmsg, es decir, cuando quic-go intenta enviar un paquete que excede la MTU indicada en ese paquete ICMP. Al establecer este valor en un valor menor a 1200 bytes (la MTU mínima para QUIC), el atacante puede interrumpir una conexión QUIC. Fundamentalmente, esto se puede hacer después de completar el protocolo de enlace, evitando así cualquier respaldo TCP que pueda implementarse en la capa de aplicación (por ejemplo, muchos navegadores recurren a HTTP sobre TCP si no pueden establecer una conexión QUIC). El atacante necesita al menos conocer la IP del cliente y la tupla de puertos para montar un ataque. Esta vulnerabilidad se corrigió en 0.48.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/12/2024

Vulnerabilidad en PHPGURUKUL Vehicle Parking Management System v1.13 (CVE-2024-53364)
Fecha de publicación:
02/12/2024
Idioma:
Español
Se encontró una vulnerabilidad de inyección SQL en PHPGURUKUL Vehicle Parking Management System v1.13 en /users/view-detail.php. Esta vulnerabilidad afecta al parámetro viewid, donde la desinfección incorrecta de la entrada permite a los atacantes inyectar consultas SQL maliciosas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/04/2025

Vulnerabilidad en PlexRipper (CVE-2024-49763)
Fecha de publicación:
02/12/2024
Idioma:
Español
PlexRipper es un descargador de contenido multimedia multiplataforma para Plex. La política CORS abierta de PlexRipper permite a los atacantes obtener información confidencial de PlexRipper al hacer que el usuario acceda al dominio del atacante. Esto permite que un sitio web atacante acceda al endpoint /api/PlexAccount y robe el inicio de sesión de Plex del usuario. Esta vulnerabilidad se corrigió en la versión 0.24.0.
Gravedad CVSS v4.0: ALTA
Última modificación:
02/12/2024
Suscribirse a Vulnerabilidades