Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en skycaiji 2.8 (CVE-2024-39241)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting (XSS) en skycaiji 2.8 permite a los atacantes ejecutar código arbitrario a través de /admin/tool/preview.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2025

Vulnerabilidad en skycaiji 2.8 (CVE-2024-39242)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting (XSS) en skycaiji v2.8 permite a los atacantes ejecutar scripts web o HTML de su elección a través de un payload manipulado utilizando eval(String.fromCharCode()).
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2025

Vulnerabilidad en skycaiji 2.8 (CVE-2024-39243)
Fecha de publicación:
26/06/2024
Idioma:
Español
Un problema descubierto en skycaiji 2.8 permite a los atacantes ejecutar código arbitrario a través de una solicitud POST manipulada para /index.php?s=/admin/develop/editor_save.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/06/2025

Vulnerabilidad en Softexpert Excellence Suite v.2.1 (CVE-2023-26877)
Fecha de publicación:
26/06/2024
Idioma:
Español
Vulnerabilidad de carga de archivos encontrada en Softexpert Excellence Suite v.2.1 permite a atacantes ejecutar código arbitrario mediante la carga de un archivo .php al endpoint form/efms_exec_html/file_upload_parser.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/08/2024

Vulnerabilidad en Lumisxp (CVE-2024-33326)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting (XSS) en el componente XsltResultControllerHtml.jsp de Lumisxp v15.0.xa v16.1.x permite a los atacantes ejecutar scripts web o HTML de su elección a través de un payload manipulado inyectado en el parámetro lumPageID.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/07/2024

Vulnerabilidad en Lumisxp (CVE-2024-33327)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting (XSS) en el componente UrlAccessibilityEvaluación.jsp de Lumisxp v15.0.x a v16.1.x permite a los atacantes ejecutar scripts web o HTML de su elección a través de un payload manipulado inyectado en el parámetro contentHtml.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/07/2024

Vulnerabilidad en Lumisxp (CVE-2024-33328)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una vulnerabilidad de Cross Site Scripting (XSS) en el componente main.jsp de Lumisxp v15.0.xa v16.1.x permite a los atacantes ejecutar scripts web o HTML de su elección a través de un payload manipulado inyectado en el parámetro pageId.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2025

Vulnerabilidad en Lumisxp (CVE-2024-33329)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una identificación privilegiada codificada dentro de Lumisxp v15.0.x a v16.1.x permite a los atacantes omitir la autenticación y acceder a páginas internas y otra información confidencial.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2025

Vulnerabilidad en fastly/js-compute (CVE-2024-38375)
Fecha de publicación:
26/06/2024
Idioma:
Español
@fastly/js-compute es un SDK de JavaScript y un tiempo de ejecución para crear aplicaciones Fastly Compute. Se determinó que la implementación de varias funciones incluía un error de use after free. Este error podría permitir la pérdida de datos no intencionada si el resultado de las funciones anteriores se enviara a cualquier otro lugar y, a menudo, resulta en una trampa de invitados que hace que los servicios devuelvan un 500. Este error se solucionó en la versión 3.16.0 de `@fastly/ Paquete js-compute`.F2937
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2024

Vulnerabilidad en SoftEtherVPN (CVE-2024-38520)
Fecha de publicación:
26/06/2024
Idioma:
Español
SoftEtherVPN es un programa VPN multiprotocolo, multiplataforma y de código abierto. Cuando SoftEtherVPN se implementa con L2TP habilitado en un dispositivo, presenta la posibilidad de que el host se utilice para la generación de tráfico de amplificación/reflexión porque responderá a cada paquete con dos paquetes de respuesta que son más grandes que el tamaño del paquete de solicitud. Este tipo de técnicas son utilizadas por actores externos que generan IP de origen falsificadas para apuntar a un destino en Internet. Esta vulnerabilidad ha sido parcheada en la versión 5.02.5185.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2024

Vulnerabilidad en MAP-OS (CVE-2024-35545)
Fecha de publicación:
26/06/2024
Idioma:
Español
Se descubrió que MAP-OS v4.45.0 y anteriores contienen una vulnerabilidad de Cross Site Scripting (XSS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2025

Vulnerabilidad en Devolutions Remote Desktop Manager (CVE-2024-6354)
Fecha de publicación:
26/06/2024
Idioma:
Español
El control de acceso inadecuado en el panel de PAM en Devolutions Remote Desktop Manager 2024.2.11 y versiones anteriores en Windows permite a un usuario autenticado omitir el permiso de ejecución mediante el uso del panel de PAM.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/03/2025
Suscribirse a Vulnerabilidades