Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Mercury MNVR816 (CVE-2024-8655)
Fecha de publicación:
10/09/2024
Idioma:
Español
Se ha detectado una vulnerabilidad en Mercury MNVR816 hasta la versión 2.0.1.0.5. Se ha clasificado como problemática. Afecta a una parte desconocida del archivo /web-static/. La manipulación hace que se pueda acceder a archivos o directorios. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó primeramente con el proveedor sobre esta revelación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2024

Vulnerabilidad en VICIdial (CVE-2024-8503)
Fecha de publicación:
10/09/2024
Idioma:
Español
Un atacante no autenticado puede aprovechar una vulnerabilidad de inyección SQL basada en tiempo en VICIdial para enumerar registros de la base de datos. De manera predeterminada, VICIdial almacena credenciales de texto plano dentro de la base de datos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/11/2025

Vulnerabilidad en VICIdial (CVE-2024-8504)
Fecha de publicación:
10/09/2024
Idioma:
Español
Un atacante con acceso autenticado a VICIdial como "agente" puede ejecutar comandos de shell arbitrarios como usuario "superusuario". Este ataque se puede encadenar con CVE-2024-8503 para ejecutar comandos de shell arbitrarios a partir de una perspectiva no autenticada.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en Renwoxing Enterprise Intelligent Management System (CVE-2024-43040)
Fecha de publicación:
10/09/2024
Idioma:
Español
Se descubrió que Renwoxing Enterprise Intelligent Management System anterior a la versión 3.0 contenía una vulnerabilidad de inyección SQL a través del parámetro parid en /fx/baseinfo/SearchInfo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/09/2024

Vulnerabilidad en Ruby-SAML (CVE-2024-45409)
Fecha de publicación:
10/09/2024
Idioma:
Español
La librería Ruby SAML sirve para implementar el lado del cliente de una autorización SAML. Ruby-SAML en <= 12.2 y 1.13.0 <= 1.16.0 no verifica correctamente la firma de la respuesta SAML. Un atacante no autenticado con acceso a cualquier documento SAML firmado (por el IdP) puede falsificar una respuesta/afirmación SAML con contenido arbitrario. Esto le permitiría al atacante iniciar sesión como un usuario arbitrario dentro del sistema vulnerable. Esta vulnerabilidad se solucionó en 1.17.0 y 1.12.3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/09/2024

Vulnerabilidad en Directus (CVE-2024-45596)
Fecha de publicación:
10/09/2024
Idioma:
Español
Directus es una API en tiempo real y un panel de control de aplicaciones para administrar el contenido de bases de datos SQL. Un usuario no autenticado puede acceder a las credenciales del último usuario autenticado a través de OpenID u OAuth2 donde la URL de autenticación no incluía una cadena de consulta de redireccionamiento. Esto sucede porque en ese endpoint, tanto para OpenID como para OAuth2, Directus usa el middleware de respuesta, que de manera predeterminada intentará almacenar en caché las solicitudes GET que cumplieron con algunas condiciones. Sin embargo, esas condiciones no incluyen este escenario, cuando una solicitud no autenticada devuelve las credenciales del usuario. Esta vulnerabilidad se corrigió en 10.13.3 y 11.1.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/11/2025

Vulnerabilidad en Gibbon Core v26.0.00 (CVE-2024-34831)
Fecha de publicación:
10/09/2024
Idioma:
Español
La vulnerabilidad de cross-site scripting (XSS) en Gibbon Core v26.0.00 permite a un atacante ejecutar código arbitrario a través del parámetro imageLink en el componente library_manage_catalog_editProcess.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/07/2025

Vulnerabilidad en Shenzhen Haichangxing Technology Co., Ltd HCX H822 4G LTE Router M7628NNxISPxUIv2_v1.0.1557.15.35_P0 (CVE-2024-44667)
Fecha de publicación:
10/09/2024
Idioma:
Español
Shenzhen Haichangxing Technology Co., Ltd HCX H822 4G LTE Router M7628NNxISPxUIv2_v1.0.1557.15.35_P0 es vulnerable a un control de acceso incorrecto. El restablecimiento del modo de fábrica sin autenticación y la inyección de comandos conducen a la exposición de la información y al acceso al shell raíz.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/10/2024

Vulnerabilidad en moziloCMS v3.0 (CVE-2024-44871)
Fecha de publicación:
10/09/2024
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitrarios en el componente /admin/index.php de moziloCMS v3.0 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo manipulado específicamente.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2024

Vulnerabilidad en moziloCMS v3.0 (CVE-2024-44872)
Fecha de publicación:
10/09/2024
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) reflejado en moziloCMS v3.0 permite a los atacantes ejecutar código arbitrario en el contexto del navegador de un usuario mediante la inyección de un payload especialmente manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2024

Vulnerabilidad en JimuReport v1.7.8 (CVE-2024-44893)
Fecha de publicación:
10/09/2024
Idioma:
Español
Un problema en el componente /jeecg-boot/jmreport/dict/list de JimuReport v1.7.8 permite a un atacante escalar privilegios a través de una solicitud GET manipulada específicamente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/09/2025

Vulnerabilidad en Microsoft Corporation (CVE-2024-43482)
Fecha de publicación:
10/09/2024
Idioma:
Español
Vulnerabilidad de divulgación de información en Microsoft Outlook para iOS
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/09/2024
Suscribirse a Vulnerabilidades