Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ActiveMQ (CVE-2024-8689)
Fecha de publicación:
11/09/2024
Idioma:
Español
Un problema con la integración de ActiveMQ tanto para Cortex XSOAR como para Cortex XSIAM puede provocar la exposición de texto plano de las credenciales de ActiveMQ configuradas en paquetes de registros.
Gravedad: Pendiente de análisis
Última modificación:
12/09/2024

Vulnerabilidad en Palo Alto Networks (CVE-2024-8690)
Fecha de publicación:
11/09/2024
Idioma:
Español
Un problema con un mecanismo de detección en el agente Cortex XDR de Palo Alto Networks en dispositivos Windows permite que un usuario con privilegios de administrador de Windows deshabilite el agente. Este problema puede ser aprovechado por malware para deshabilitar el agente Cortex XDR y luego realizar una actividad maliciosa.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/10/2024

Vulnerabilidad en Palo Alto Networks (CVE-2024-8691)
Fecha de publicación:
11/09/2024
Idioma:
Español
Una vulnerabilidad en el portal GlobalProtect del software PAN-OS de Palo Alto Networks permite que un usuario autenticado de GlobalProtect se haga pasar por otro usuario de GlobalProtect. Los usuarios activos de GlobalProtect suplantados por un atacante que explota esta vulnerabilidad se desconectan de GlobalProtect. Tras la explotación, los registros de PAN-OS indican que el usuario suplantado se autenticó en GlobalProtect, lo que oculta la identidad del atacante.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/11/2024

Vulnerabilidad en Cisco IOS XR (CVE-2024-20406)
Fecha de publicación:
11/09/2024
Idioma:
Español
Una vulnerabilidad en la función de enrutamiento de segmentos para el protocolo de sistema intermedio a sistema intermedio (IS-IS) del software Cisco IOS XR podría permitir que un atacante adyacente no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada insuficiente de los paquetes IS-IS de entrada. Un atacante podría aprovechar esta vulnerabilidad enviando paquetes IS-IS específicos a un dispositivo afectado después de formar una adyacencia. Una explotación exitosa podría permitir que el atacante provoque que el proceso IS-IS en todos los dispositivos afectados que participan en el algoritmo flexible se bloquee y se reinicie, lo que da como resultado una condición de DoS. Nota: El protocolo IS-IS es un protocolo de enrutamiento. Para aprovechar esta vulnerabilidad, un atacante debe estar adyacente a la capa 2 del dispositivo afectado y debe haber formado una adyacencia. Esta vulnerabilidad afecta al enrutamiento de segmentos para IS-IS sobre planos de control IPv4 e IPv6, así como a dispositivos que están configurados como tipo IS-IS de enrutamiento de nivel 1, nivel 2 o multinivel.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2024

Vulnerabilidad en Cisco Routed PON Controller (CVE-2024-20483)
Fecha de publicación:
11/09/2024
Idioma:
Español
Varias vulnerabilidades en el software Cisco Routed PON Controller, que se ejecuta como un contenedor Docker en hardware compatible con el software Cisco IOS XR, podrían permitir que un atacante remoto autenticado con privilegios de nivel de administrador en el administrador de PON o acceso directo a la instancia MongoDB del administrador de PON realice ataques de inyección de comandos en el contenedor del controlador de PON y ejecute comandos arbitrarios como superusuario. Estas vulnerabilidades se deben a una validación insuficiente de los argumentos que se pasan a comandos de configuración específicos. Un atacante podría aprovechar estas vulnerabilidades al incluir una entrada manipulada como argumento de un comando de configuración afectado. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios como superusuario en el controlador de PON.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2024

Vulnerabilidad en MongoDB (CVE-2024-20489)
Fecha de publicación:
11/09/2024
Idioma:
Español
Una vulnerabilidad en el método de almacenamiento del archivo de configuración del controlador PON podría permitir que un atacante local autenticado con privilegios bajos obtenga las credenciales de MongoDB. Esta vulnerabilidad se debe al almacenamiento inadecuado de las credenciales de la base de datos sin cifrar en el dispositivo que ejecuta el software Cisco IOS XR. Un atacante podría aprovechar esta vulnerabilidad accediendo a los archivos de configuración en un sistema afectado. Una explotación exitosa podría permitir al atacante ver las credenciales de MongoDB.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2024

Vulnerabilidad en RELY-PCIe (CVE-2024-44573)
Fecha de publicación:
11/09/2024
Idioma:
Español
Una vulnerabilidad de cross site scripting (XSS) almacenado en la configuración de VLAN de RELY-PCIe v22.2.1 a v23.1.0 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado específicamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/04/2025

Vulnerabilidad en RELY-PCIe (CVE-2024-44575)
Fecha de publicación:
11/09/2024
Idioma:
Español
RELY-PCIe v22.2.1 a v23.1.0 no establece el atributo Seguro para cookies confidenciales en sesiones HTTPS, lo que podría provocar que el agente de usuario envíe esas cookies en texto plano a través de una sesión HTTP.
Gravedad CVSS v3.1: BAJA
Última modificación:
28/04/2025

Vulnerabilidad en Payara Platform Payara Server (CVE-2024-8097)
Fecha de publicación:
11/09/2024
Idioma:
Español
Vulnerabilidad de exposición de información confidencial a un actor no autorizado en Payara Platform Payara Server (módulos de registro) permite que las credenciales confidenciales se publiquen en texto plano en el registro del servidor. Este problema afecta a Payara Server: desde 6.0.0 antes de 6.18.0, desde 6.2022.1 antes de 6.2024.9, desde 5.20.0 antes de 5.67.0, desde 5.2020.2 antes de 5.2022.5, desde 4.1.2.191.0 antes de 4.1.2.191.50.
Gravedad: Pendiente de análisis
Última modificación:
12/09/2024

Vulnerabilidad en RELY-PCIe (CVE-2024-44574)
Fecha de publicación:
11/09/2024
Idioma:
Español
Se descubrió que RELY-PCIe v22.2.1 a v23.1.0 contenía una vulnerabilidad de inyección de comandos a través de la función sys_conf.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2025

Vulnerabilidad en RELY-PCIe (CVE-2024-44577)
Fecha de publicación:
11/09/2024
Idioma:
Español
Se descubrió que RELY-PCIe v22.2.1 a v23.1.0 contenía una vulnerabilidad de inyección de comandos a través de la función time_date.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2025

Vulnerabilidad en RELY-PCIe (CVE-2024-44570)
Fecha de publicación:
11/09/2024
Idioma:
Español
Se descubrió que RELY-PCIe v22.2.1 a v23.1.0 contenía una vulnerabilidad de inyección de código a través de la función getParams en phpinf.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2025
Suscribirse a Vulnerabilidades