Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Substance3D - Stager (CVE-2025-21129)
Fecha de publicación:
14/01/2025
Idioma:
Español
Las versiones 3.0.4 y anteriores de Substance3D - Stager se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en el montón que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/01/2025

Vulnerabilidad en Substance3D - Stager (CVE-2025-21130)
Fecha de publicación:
14/01/2025
Idioma:
Español
Las versiones 3.0.4 y anteriores de Substance3D - Stager se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/01/2025

Vulnerabilidad en Substance3D - Stager (CVE-2025-21131)
Fecha de publicación:
14/01/2025
Idioma:
Español
Las versiones 3.0.4 y anteriores de Substance3D - Stager se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/01/2025

Vulnerabilidad en Django (CVE-2024-56374)
Fecha de publicación:
14/01/2025
Idioma:
Español
Se descubrió un problema en Django 5.1 antes de 5.1.5, 5.0 antes de 5.0.11 y 4.2 antes de 4.2.18. La falta de aplicación de un límite superior en las cadenas que se pasan al realizar la validación de IPv6 podría provocar un posible ataque de denegación de servicio. Las funciones privadas y no documentadas clean_ipv6_address e is_valid_ipv6_address son vulnerables, al igual que el campo de formulario django.forms.GenericIPAddressField. (El campo de modelo django.db.models.GenericIPAddressField no se ve afectado).
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2025

Vulnerabilidad en Git (CVE-2024-52006)
Fecha de publicación:
14/01/2025
Idioma:
Español
Git es un sistema de control de revisión distribuido, escalable y rápido con un conjunto de comandos inusualmente rico que proporciona operaciones de alto nivel y acceso completo a los elementos internos. Git define un protocolo basado en líneas que se utiliza para intercambiar información entre Git y los ayudantes de credenciales de Git. Algunos ecosistemas (en particular, .NET y node.js) interpretan los caracteres de retorno de carro individuales como nuevas líneas, lo que hace que las protecciones contra CVE-2020-5260 sean incompletas para los ayudantes de credenciales que tratan los retornos de carro de esta manera. Este problema se ha abordado en el Commit `b01b9b8`, que se incluye en las versiones de lanzamiento v2.48.1, v2.47.1, v2.46.3, v2.45.3, v2.44.3, v2.43.6, v2.42.4, v2.41.3 y v2.40.4. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben evitar la clonación desde URL que no sean confiables, especialmente clones recursivos.
Gravedad CVSS v4.0: BAJA
Última modificación:
18/12/2025

Vulnerabilidad en Git (CVE-2024-50349)
Fecha de publicación:
14/01/2025
Idioma:
Español
Git es un sistema de control de revisión distribuido, rápido y escalable con un conjunto de comandos inusualmente rico que proporciona operaciones de alto nivel y acceso completo a los elementos internos. Cuando Git solicita credenciales a través de un indicador de terminal (es decir, sin usar ningún asistente de credenciales), imprime el nombre de host para el que se espera que el usuario proporcione un nombre de usuario y/o una contraseña. En esta etapa, todas las partes codificadas en URL ya han sido decodificadas y se imprimen textualmente. Esto permite a los atacantes crear URL que contienen secuencias de escape ANSI que la terminal interpreta para confundir a los usuarios, por ejemplo, para que proporcionen contraseñas para sitios de alojamiento de Git confiables cuando, de hecho, luego se envían a sitios que no son de confianza y que están bajo el control del atacante. Este problema se ha corregido mediante las confirmaciones `7725b81` y `c903985`, que están incluidas en las versiones de lanzamiento v2.48.1, v2.47.1, v2.46.3, v2.45.3, v2.44.3, v2.43.6, v2.42.4, v2.41.3 y v2.40.4. Se recomienda a los usuarios que actualicen la versión. Los usuarios que no puedan actualizar deben evitar la clonación desde URL que no sean de confianza, especialmente clones recursivos.
Gravedad CVSS v4.0: BAJA
Última modificación:
18/12/2025

Vulnerabilidad en Invoice Ninja (CVE-2025-0474)
Fecha de publicación:
14/01/2025
Idioma:
Español
Invoice Ninja es vulnerable a Server-Side Request Forgery (SSRF) autenticado, lo que permite la lectura arbitraria de archivos y solicitudes de recursos de red como usuario de la aplicación. Este problema afecta a Invoice Ninja: desde la versión 5.8.56 hasta la 5.11.23.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en QNX SDP (CVE-2024-48854)
Fecha de publicación:
14/01/2025
Idioma:
Español
Un error de un dígito en el códec de imagen TIFF en las versiones 8.0, 7.1 y 7.0 de QNX SDP podría permitir que un atacante no autenticado provoque una divulgación de información en el contexto del proceso que utiliza el códec de imagen.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/01/2025

Vulnerabilidad en QNX SDP (CVE-2024-48855)
Fecha de publicación:
14/01/2025
Idioma:
Español
La lectura de fuera de los límites en el códec de imagen TIFF en las versiones 8.0, 7.1 y 7.0 de QNX SDP podría permitir que un atacante no autenticado provoque una divulgación de información en el contexto del proceso que utiliza el códec de imagen.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/01/2025

Vulnerabilidad en QNX SDP (CVE-2024-48856)
Fecha de publicación:
14/01/2025
Idioma:
Español
La escritura fuera de los límites en el códec de imagen PCX en las versiones 8.0, 7.1 y 7.0 de QNX SDP podría permitir que un atacante no autenticado provoque una condición de denegación de servicio o ejecute código en el contexto del proceso que utiliza el códec de imagen.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2025

Vulnerabilidad en QNX SDP (CVE-2024-48857)
Fecha de publicación:
14/01/2025
Idioma:
Español
La desreferencia de puntero NULL en el códec de imagen PCX en las versiones 8.0, 7.1 y 7.0 de QNX SDP podría permitir que un atacante no autenticado provoque una condición de denegación de servicio en el contexto del proceso que utiliza el códec de imagen.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2025

Vulnerabilidad en Rasa (CVE-2024-49375)
Fecha de publicación:
14/01/2025
Idioma:
Español
Framework de aprendizaje automático de código abierto. Se ha identificado una vulnerabilidad en Rasa que permite a un atacante que tiene la capacidad de cargar un modelo manipulado malintencionado de forma remota en una instancia de Rasa lograr la ejecución remota de código. Los requisitos previos para esto son: 1. La API HTTP debe estar habilitada en la instancia de Rasa, por ejemplo, con `--enable-api`. Esta no es la configuración predeterminada. 2. Para que se pueda explotar una RCE no autenticada, el usuario no debe haber configurado ninguna autenticación u otros controles de seguridad recomendados en nuestra documentación. 3. Para una RCE autenticada, el atacante debe poseer un token de autenticación válido o JWT para interactuar con la API de Rasa. Este problema se ha solucionado en la versión 3.6.21 de rasa y se recomienda a todos los usuarios que actualicen. Los usuarios que no puedan actualizar deben asegurarse de requerir autenticación y de que solo los usuarios de confianza tengan acceso.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades