Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en 1Panel (CVE-2024-39907)
Fecha de publicación:
18/07/2024
Idioma:
Español
1Panel es un panel de control de gestión de servidores Linux basado en web. Hay muchas inyecciones de SQL en el proyecto y algunas de ellas no están bien filtradas, lo que provoca escrituras de archivos arbitrarias y, en última instancia, conduce a RCE. Estas inyecciones de SQL se resolvieron en la versión 1.10.12-tls. Se recomienda a los usuarios que actualicen. No se conocen workarounds para estos problemas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/09/2024

Vulnerabilidad en 1Panel (CVE-2024-39911)
Fecha de publicación:
18/07/2024
Idioma:
Español
1Panel es un panel de control de gestión de servidores Linux basado en web. 1Panel contiene una inyección de SQL no especificada mediante el manejo de User-Agent. Este problema se solucionó en la versión 1.10.12-lts. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/09/2024

Vulnerabilidad en IBM Engineering Requisitos Management DOORS Web Access 9.7.2.8 (CVE-2023-50304)
Fecha de publicación:
18/07/2024
Idioma:
Español
IBM Engineering Requisitos Management DOORS Web Access 9.7.2.8 es vulnerable a un ataque de inyección de entidad externa XML (XXE) al procesar datos XML. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. ID de IBM X-Force: 273335.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2024

Vulnerabilidad en Dell ECS (CVE-2024-30473)
Fecha de publicación:
18/07/2024
Idioma:
Español
Dell ECS, versiones anteriores a la 3.8.1, contienen una vulnerabilidad de elevación de privilegios en la administración de usuarios. Un atacante remoto con altos privilegios podría explotar esta vulnerabilidad y obtener acceso a endpoints no autorizados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

Vulnerabilidad en Acronis True Image (CVE-2024-34013)
Fecha de publicación:
18/07/2024
Idioma:
Español
Escalada de privilegios locales debido a una vulnerabilidad de inyección de comandos del sistema operativo. Los siguientes productos se ven afectados: Acronis True Image (macOS) anterior a la compilación 41396.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/07/2024

Vulnerabilidad en PCI MSI (CVE-2024-31143)
Fecha de publicación:
18/07/2024
Idioma:
Español
Una característica opcional de PCI MSI llamada "Mensaje múltiple" permite que un dispositivo utilice múltiples vectores de interrupción consecutivos. A diferencia de MSI-X, la configuración de estos vectores consecutivos debe realizarse de una sola vez. En este manejo se podría tomar una ruta de error en diferentes situaciones, con o sin un bloqueo particular mantenido. Esta ruta de error libera incorrectamente el bloqueo incluso cuando no está retenido actualmente.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2026

Vulnerabilidad en Apache Software Foundation (CVE-2024-29178)
Fecha de publicación:
18/07/2024
Idioma:
Español
En versiones anteriores a la 2.1.4, un usuario podía iniciar sesión y realizar un ataque de inyección de plantilla que generaba una ejecución remota de código en el servidor. El atacante debía iniciar sesión correctamente en el sistema para lanzar un ataque, por lo que se trata de una vulnerabilidad de impacto moderado. Mitigación: todos los usuarios deben actualizar a 2.1.4
Gravedad CVSS v3.1: ALTA
Última modificación:
13/02/2025

Vulnerabilidad en Apache HTTP (CVE-2024-40898)
Fecha de publicación:
18/07/2024
Idioma:
Español
SSRF en el servidor Apache HTTP en Windows con mod_rewrite en el contexto de servidor/vhost, permite potencialmente filtrar hashes NTML a un servidor malicioso a través de SSRF y solicitudes maliciosas. Se recomienda a los usuarios actualizar a la versión 2.4.62, que soluciona este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2024

Vulnerabilidad en Rapid7 InsightVM Console (CVE-2024-6504)
Fecha de publicación:
18/07/2024
Idioma:
Español
Las versiones de Rapid7 InsightVM Console inferiores a 6.6.260 sufren una falla en el mecanismo de protección mediante el cual un atacante con acceso de red a InsightVM Console puede provocar que se sobrecargue o falle al enviar repetidas solicitudes REST no válidas en un corto período de tiempo al puerto 443 de la consola, lo que provoca que la consola se bloquee. para ingresar a un bucle de registro de manejo de excepciones, agotando la CPU. No hay indicios de que un atacante pueda utilizar este método para escalar privilegios, adquirir acceso no autorizado a datos u obtener control de recursos protegidos. Este problema se solucionó en la versión 6.6.261.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2025

Vulnerabilidad en Apache HTTP Server 2.4.61 (CVE-2024-40725)
Fecha de publicación:
18/07/2024
Idioma:
Español
Una solución parcial para CVE-2024-39884 en el núcleo de Apache HTTP Server 2.4.61 ignora parte del uso de la configuración de controladores heredada basada en el tipo de contenido. "AddType" y configuraciones similares, en algunas circunstancias en las que los archivos se solicitan indirectamente, dan como resultado la divulgación del código fuente del contenido local. Por ejemplo, los scripts PHP pueden servirse en lugar de interpretarse. Se recomienda a los usuarios actualizar a la versión 2.4.62, que soluciona este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2025

Vulnerabilidad en Brizy – Page Builder para WordPress (CVE-2024-3242)
Fecha de publicación:
18/07/2024
Idioma:
Español
El complemento Brizy – Page Builder para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de la extensión del archivo en la función validarImageContent llamada a través de storeImages en todas las versiones hasta la 2.4.43 incluida. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código. La versión 2.4.44 impide la carga de archivos que terminen en .sh y .php. La versión 2.4.45 soluciona completamente el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/01/2025

Vulnerabilidad en Element Pack Elementor Addons para WordPress (CVE-2024-5554)
Fecha de publicación:
18/07/2024
Idioma:
Español
El complemento Element Pack Elementor Addons (encabezado, pie de página, librería de plantillas, cuadrícula dinámica y carrusel, flechas remotas) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'onclick_event' en todas las versiones hasta la 5.6.11 incluida, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/08/2024
Suscribirse a Vulnerabilidades