Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Tabby (CVE-2025-22136)
Fecha de publicación:
08/01/2025
Idioma:
Español
Tabby (anteriormente Terminus) es un emulador de terminal altamente configurable. Antes de la versión 1.0.217, Tabby habilita varios fusibles Electron de alto riesgo, incluidos RunAsNode, EnableNodeCliInspectArguments y EnableNodeOptionsEnvironmentVariable. Estos fusibles crean posibles vectores de inyección de código a pesar de que la aplicación está firmada con un entorno de ejecución reforzado y carece de derechos peligrosos como com.apple.security.cs.disable-library-validation y com.apple.security.cs.allow-dyld-environment-variables. Esta vulnerabilidad se solucionó en la versión 1.0.217.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Pingvin Share (CVE-2025-22137)
Fecha de publicación:
08/01/2025
Idioma:
Español
Pingvin Share es una plataforma de intercambio de archivos alojada en servidores propios y una alternativa a WeTransfer. Esta vulnerabilidad permite que un usuario autenticado o no autenticado (si se permiten los intercambios anónimos) sobrescriba archivos arbitrarios en el servidor, incluidos archivos de sistema confidenciales, mediante solicitudes HTTP POST. El problema se ha corregido en la versión 1.4.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Polaris FT Intellect Core Banking 9.5 (CVE-2024-55517)
Fecha de publicación:
08/01/2025
Idioma:
Español
Se descubrió un problema en Interllect Core Search en Polaris FT Intellect Core Banking 9.5. La entrada que se pasa a través del parámetro groupType en /SCGController se gestiona incorrectamente antes de usarse en consultas SQL, lo que permite la inyección de SQL en una sesión autenticada.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en RedisBloom (CVE-2024-55656)
Fecha de publicación:
08/01/2025
Idioma:
Español
RedisBloom agrega un conjunto de estructuras de datos probabilísticas a Redis. Existe una vulnerabilidad de desbordamiento de enteros en RedisBloom, que es un módulo utilizado en Redis. La vulnerabilidad de desbordamiento de enteros permite a un atacante (un cliente de Redis que conoce la contraseña) asignar memoria en el montón menor que la memoria requerida debido al envoltorio. Luego, se pueden realizar operaciones de lectura y escritura más allá de esta memoria asignada, lo que genera una fuga de información y una escritura OOB. El desbordamiento de enteros se encuentra en el comando CMS.INITBYDIM, que inicializa un Count-Min Sketch con las dimensiones especificadas por el usuario. Acepta dos valores (ancho y profundidad) y los utiliza para asignar memoria en NewCMSketch(). Esta vulnerabilidad se corrigió en 2.2.19, 2.4.12, 2.6.14 y 2.8.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en RediSearch (CVE-2024-51737)
Fecha de publicación:
08/01/2025
Idioma:
Español
RediSearch es un módulo de Redis que proporciona consultas, indexación secundaria y búsqueda de texto completo para Redis. Un usuario de Redis autenticado que ejecuta FT.SEARCH o FT.AGGREGATE con un argumento de comando LIMIT especialmente manipulado, o FT.SEARCH con un argumento de comando KNN especialmente manipulado, puede provocar un desbordamiento de enteros, lo que lleva a un desbordamiento de montón y una posible ejecución remota de código. Esta vulnerabilidad se solucionó en 2.6.24, 2.8.21 y 2.10.10. Evite establecer un valor de -1 o valores grandes para los parámetros de configuración MAXSEARCHRESULTS y MAXAGGREGATERESULTS, para evitar explotar argumentos LIMIT grandes.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en RedisTimeSeries (CVE-2024-51480)
Fecha de publicación:
08/01/2025
Idioma:
Español
RedisTimeSeries es un módulo de base de datos de series temporales (TSDB) para Redis, creado por Redis. La ejecución de uno de estos comandos TS.QUERYINDEX, TS.MGET, TS.MRAGE, TS.MREVRANGE por parte de un usuario autenticado, utilizando argumentos de comando especialmente manipulados, puede provocar un desbordamiento de enteros, un desbordamiento de montón posterior y, potencialmente, provocar la ejecución remota de código. Esta vulnerabilidad se ha corregido en las versiones 1.6.20, 1.8.15, 1.10.15 y 1.12.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Dell VxRail (CVE-2025-21102)
Fecha de publicación:
08/01/2025
Idioma:
Español
Dell VxRail, versiones 7.0.000 a 7.0.532, contiene una vulnerabilidad de almacenamiento de contraseñas en texto plano. Un atacante con privilegios elevados y acceso local podría aprovechar esta vulnerabilidad, lo que provocaría la exposición de información.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2025

Vulnerabilidad en Ultimate Gift Cards para WooCommerce – Create WooCommerce Gift Cards, Gift Vouchers, Redeem y Manage Digital Gift Coupons. Offer Gift Certificates, Schedule Gift Cards, y Use Advance Coupons With Personalized Templates para WordPress (CVE-2024-11423)
Fecha de publicación:
08/01/2025
Idioma:
Español
El complemento Ultimate Gift Cards para WooCommerce – Create WooCommerce Gift Cards, Gift Vouchers, Redeem y Manage Digital Gift Coupons. Offer Gift Certificates, Schedule Gift Cards, y Use Advance Coupons With Personalized Templates para WordPress es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidad faltante en varios endpoints de API REST como /wp-json/gifting/recharge-giftcard en todas las versiones hasta la 3.0.6 incluida. Esto hace posible que atacantes no autenticados recarguen el saldo de una tarjeta de regalo, sin realizar un pago, junto con la reducción de los saldos de las tarjetas de regalo sin comprar nada.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en PDF Flipbook, 3D Flipbook—DearFlip para WordPress (CVE-2024-11830)
Fecha de publicación:
08/01/2025
Idioma:
Español
El complemento PDF Flipbook, 3D Flipbook—DearFlip para WordPress es vulnerable a Cross-Site Scripting almacenado a través de configuraciones de esquema en todas las versiones hasta la 2.3.52 debido a una desinfección de entrada insuficiente y al escape de salida en los datos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten web scripts arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Shipping via Planzer para WooCommerce para WordPress (CVE-2024-12337)
Fecha de publicación:
08/01/2025
Idioma:
Español
El complemento Shipping via Planzer para WooCommerce para WordPress es vulnerable a ataques de Cross-Site Scripting reflejado a través del parámetro 'processed-ids' en todas las versiones hasta la 1.0.25 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes no autenticados inyecten web scripts arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Garden Gnome Package para WordPress (CVE-2024-12854)
Fecha de publicación:
08/01/2025
Idioma:
Español
El complemento Garden Gnome Package para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función que extrae automáticamente los archivos 'ggpkg' que se han cargado en todas las versiones hasta la 2.3.0 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de autor y superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Modula Image Gallery para WordPress (CVE-2024-12853)
Fecha de publicación:
08/01/2025
Idioma:
Español
El complemento Modula Image Gallery para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función de carga de archivos zip en todas las versiones hasta la 2.11.10 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de autor o superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/12/2025
Suscribirse a Vulnerabilidades