Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Spiffy Spiffy Calendar (CVE-2024-43969)
Fecha de publicación:
17/09/2024
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en los complementos de Spiffy Spiffy Calendar permite la inyección SQL. Este problema afecta a Spiffy Calendar: desde n/a hasta 4.9.12.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/09/2024

Vulnerabilidad en Highwarden Super Store Finder (CVE-2024-43976)
Fecha de publicación:
17/09/2024
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en Highwarden Super Store Finder permite la inyección SQL. Este problema afecta a Super Store Finder: desde n/a hasta 6.9.7.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/09/2024

Vulnerabilidad en POSIMYTH The Plus Addons para Elementor Page Builder Lite (CVE-2024-43977)
Fecha de publicación:
17/09/2024
Idioma:
Español
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en POSIMYTH The Plus Addons para Elementor Page Builder Lite permite XSS almacenado. Este problema afecta a The Plus Addons para Elementor Page Builder Lite: desde n/a hasta 5.6.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2024

Vulnerabilidad en Highwarden Super Store Finder (CVE-2024-43978)
Fecha de publicación:
17/09/2024
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en Highwarden Super Store Finder permite la inyección SQL. Este problema afecta a Super Store Finder: desde n/a hasta 6.9.8.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/09/2024

Vulnerabilidad en kernel de Windows (CVE-2024-37985)
Fecha de publicación:
17/09/2024
Idioma:
Español
Vulnerabilidad de divulgación de información del kernel de Windows
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/09/2024

Vulnerabilidad en Next.js (CVE-2024-46982)
Fecha de publicación:
17/09/2024
Idioma:
Español
Next.js es un framework React para crear aplicaciones web full-stack. Al enviar una solicitud HTTP manipulada, es posible envenenar el caché de una ruta renderizada del lado del servidor no dinámica en el enrutador de páginas (esto no afecta al enrutador de aplicaciones). Cuando se envía esta solicitud manipulada, podría obligar a Next.js a almacenar en caché una ruta que no debe almacenarse en caché y enviar un encabezado `Cache-Control: s-maxage=1, stale-while-revalidate` que algunas CDN ascendentes también pueden almacenar en caché. Para verse potencialmente afectado, se deben aplicar todas las siguientes condiciones: 1. Next.js entre 13.5.1 y 14.2.9, 2. Usar el enrutador de páginas y 3. Usar rutas renderizadas del lado del servidor no dinámicas, por ejemplo, `pages/dashboard.tsx` no `pages/blog/[slug].tsx`. Esta vulnerabilidad se resolvió en Next.js v13.5.7, v14.2.10 y posteriores. Recomendamos actualizar independientemente de si se puede reproducir el problema o no. No existen workarounds oficiales ni recomendadas para este problema, recomendamos que los usuarios instalen el parche a una versión segura.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/09/2025

Vulnerabilidad en PTZOptics PT30X-SDI/NDI-xx (CVE-2024-8957)
Fecha de publicación:
17/09/2024
Idioma:
Español
PTZOptics PT30X-SDI/NDI-xx anterior al firmware 6.3.40 es vulnerable a un problema de inyección de comandos del sistema operativo. La cámara no valida suficientemente el valor de configuración ntp_addr, lo que puede provocar la ejecución de comandos arbitrarios cuando se inicia ntp_client. Cuando se combina con CVE-2024-8956, un atacante remoto y no autenticado puede ejecutar comandos arbitrarios del sistema operativo en los dispositivos afectados.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/10/2025

Vulnerabilidad en Google Chrome (CVE-2024-8905)
Fecha de publicación:
17/09/2024
Idioma:
Español
Una implementación inadecuada en la versión 8 de Google Chrome anterior a la 129.0.6668.58 permitió que un atacante remoto pudiera explotar la corrupción de la pila a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Gravedad CVSS v3.1: ALTA
Última modificación:
02/01/2025

Vulnerabilidad en Google Chrome (CVE-2024-8906)
Fecha de publicación:
17/09/2024
Idioma:
Español
La interfaz de seguridad incorrecta en Descargas en Google Chrome anterior a la versión 129.0.6668.58 permitía que un atacante remoto que convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario realizara una suplantación de la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2025

Vulnerabilidad en Google Chrome (CVE-2024-8907)
Fecha de publicación:
17/09/2024
Idioma:
Español
La validación de datos insuficiente en Omnibox en Google Chrome en Android anterior a la versión 129.0.6668.58 permitió que un atacante remoto convenciera a un usuario para que realizara gestos de IU específicos para inyectar secuencias de comandos arbitrarias o HTML (XSS) a través de un conjunto de gestos de IU manipulados. (Gravedad de seguridad de Chromium: media)
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en Google Chrome (CVE-2024-8908)
Fecha de publicación:
17/09/2024
Idioma:
Español
Una implementación inadecuada de Autocompletar en Google Chrome anterior a la versión 129.0.6668.58 permitió que un atacante remoto suplantara la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: baja)
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2025

Vulnerabilidad en Google Chrome (CVE-2024-8909)
Fecha de publicación:
17/09/2024
Idioma:
Español
Una implementación inadecuada en la interfaz de usuario de Google Chrome en iOS anterior a la versión 129.0.6668.58 permitió que un atacante remoto suplantara la interfaz de usuario a través de una página HTML manipulada específicamente. (Gravedad de seguridad de Chromium: baja)
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2025
Suscribirse a Vulnerabilidades