Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en mudler/LocalAI (CVE-2024-5616)
Fecha de publicación:
06/07/2024
Idioma:
Español
Existe una vulnerabilidad de Cross Site Request Forgery (CSRF) en las versiones de mudler/LocalAI hasta la 2.15.0 incluida, que permite a los atacantes engañar a las víctimas para que eliminen los modelos instalados. Al crear una página HTML maliciosa, un atacante puede provocar la eliminación de un modelo, como 'gpt-4-vision-preview', sin el consentimiento de la víctima. La vulnerabilidad se debe a mecanismos de protección CSRF insuficientes en la funcionalidad de eliminación del modelo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2025

Vulnerabilidad en OpenAI ChatGPT (CVE-2024-40594)
Fecha de publicación:
06/07/2024
Idioma:
Español
La aplicación OpenAI ChatGPT anterior al 5 de julio de 2024 para macOS excluye la sandbox y almacena las conversaciones en texto plano en una ubicación accesible para otras aplicaciones.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/11/2024

Vulnerabilidad en OPC Foundation OPCFoundation.NetStandard.Opc.Ua.Core (CVE-2024-33862)
Fecha de publicación:
05/07/2024
Idioma:
Español
Una vulnerabilidad de gestión del búfer en OPC Foundation OPCFoundation.NetStandard.Opc.Ua.Core anterior a 1.05.374.54 podría permitir a atacantes remotos agotar los recursos de memoria. Se activa cuando el sistema recibe una cantidad excesiva de mensajes de una fuente remota. Esto podría conducir potencialmente a una condición de denegación de servicio (DoS), interrumpiendo el funcionamiento normal del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2024

Vulnerabilidad en ISPmanager v6.98.0 (CVE-2024-39182)
Fecha de publicación:
05/07/2024
Idioma:
Español
Una vulnerabilidad de divulgación de información en ISPmanager v6.98.0 permite a los atacantes acceder a detalles confidenciales de la sesión del usuario root mediante un comando arbitrario (ISP6-1779).
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2024

Vulnerabilidad en vanna-ai/vanna (CVE-2024-5753)
Fecha de publicación:
05/07/2024
Idioma:
Español
La versión v0.3.4 de vanna-ai/vanna es vulnerable a la inyección de SQL en algunas funciones críticas de archivos como `pg_read_file()`. Esta vulnerabilidad permite a usuarios remotos no autenticados leer archivos locales arbitrarios en el servidor víctima, incluidos archivos confidenciales como `/etc/passwd`, explotando las consultas SQL expuestas a través de una API Python Flask.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2025

Vulnerabilidad en idccms v1.35 (CVE-2024-39021)
Fecha de publicación:
05/07/2024
Idioma:
Español
Se descubrió que idccms v1.35 contenía una falsificación de solicitud entre sitios (CSRF) a través del componente http://127.0.0.1:80/admin/vpsApiData_deal.php?mudi=del
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2025

CVE-2024-39022
Fecha de publicación:
05/07/2024
Idioma:
Español
Se descubrió que idccms v1.35 contenía una vulnerabilidad de Cross Site Request Forgery (CSRF) a través de /admin/infoSys_deal.php?mudi=deal
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2025

Vulnerabilidad en idccms v1.35 (CVE-2024-39023)
Fecha de publicación:
05/07/2024
Idioma:
Español
Se descubrió que idccms v1.35 contiene una vulnerabilidad de Cross Site Request Forgery (CSRF) a través de admin/info_deal.php?mudi=add&nohrefStr=close
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2025

Vulnerabilidad en Certifi (CVE-2024-39689)
Fecha de publicación:
05/07/2024
Idioma:
Español
Certifi es una colección seleccionada de certificados raíz para validar la confiabilidad de los certificados SSL mientras se verifica la identidad de los hosts TLS. Certifi a partir de 2021.05.30 y antes de 2024.07.4 reconoció los certificados raíz de `GLOBALTRUST`. Certifi 2024.07.04 elimina los certificados raíz de `GLOBALTRUST` del almacén raíz. Estos están en proceso de ser eliminados del almacén de confianza de Mozilla. Los certificados raíz de "GLOBALTRUST" se están eliminando tras una investigación que identificó "problemas de cumplimiento de larga duración y no resueltos".
Gravedad CVSS v3.1: ALTA
Última modificación:
15/02/2025

Vulnerabilidad en Matrix-appservice-irc (CVE-2024-39691)
Fecha de publicación:
05/07/2024
Idioma:
Español
Matrix-appservice-irc es un puente IRC de Node.js para el protocolo de mensajería Matrix. La solución para GHSA-wm4w-7h2q-3pf7/CVE-2024-32000 incluida en Matrix-appservice-irc 2.0.0 se basaba en la marca de tiempo proporcionada por el servidor doméstico de Matrix para determinar si un usuario tiene acceso al evento al que está respondiendo cuando determina si se incluye o no una versión truncada del evento original en el mensaje IRC. Dado que este valor está controlado por entidades externas, un servidor doméstico Matrix malicioso unido a una sala en la que está presente una instancia de puente Matrix-appservice-irc (anterior a la versión 2.0.1) puede fabricar la marca de tiempo con la intención de engañar al puente para fugar mensajes de la sala, mensajes a los que el servidor doméstico no debería tener acceso. Matrix-appservice-irc 2.0.1 elimina la dependencia de `origin_server_ts` al determinar si un evento debe ser visible o no para un usuario, en lugar de realizar un seguimiento interno de las marcas de tiempo del evento. Como solución alternativa, es posible limitar la cantidad de información filtrada configurando una plantilla de respuesta que no contenga el mensaje original.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2024

Vulnerabilidad en Evmos (CVE-2024-39696)
Fecha de publicación:
05/07/2024
Idioma:
Español
Evmos es una cadena descentralizada de máquinas virtuales Ethereum en Cosmos Network. Antes de la versión 19.0.0, un usuario puede crear una cuenta de adquisición de derechos con una cuenta de un tercero (EOA o contrato) como financiador. Luego, este usuario puede crear una autorización para el contrato.CallerAddress, esta es la autorización marcada en el código. Pero los fondos se toman de la dirección del financiador proporcionada en el mensaje. En consecuencia, el usuario puede depositar fondos en una cuenta de adquisición de derechos con una cuenta de terceros sin su permiso. La dirección del financiador puede ser cualquier dirección, por lo que esta vulnerabilidad se puede utilizar para vaciar todas las cuentas de la cadena. El problema se solucionó en la versión 19.0.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/03/2025

Vulnerabilidad en Pi-hole (CVE-2024-34361)
Fecha de publicación:
05/07/2024
Idioma:
Español
Pi-hole es un sumidero de DNS que protege los dispositivos de contenido no deseado sin instalar ningún software del lado del cliente. Una vulnerabilidad en versiones anteriores a la 5.18.3 permite a un usuario autenticado realizar solicitudes internas al servidor a través de la función `gravity_DownloadBlocklistFromUrl()`. Dependiendo de algunas circunstancias, la vulnerabilidad podría provocar la ejecución remota de comandos. La versión 5.18.3 contiene un parche para este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/10/2025
Suscribirse a Vulnerabilidades