Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en D-Link (CVE-2024-6045)
Fecha de publicación:
17/06/2024
Idioma:
Español
Ciertos modelos de enrutadores inalámbricos D-Link contienen una puerta trasera de prueba de fábrica no revelada. Los atacantes no autenticados en la red de área local pueden obligar al dispositivo a habilitar el servicio Telnet accediendo a una URL específica y pueden iniciar sesión utilizando las credenciales de administrador obtenidas al analizar el firmware.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2024

Vulnerabilidad en SECOM WRTR-304GN-304TW-UPSC V02 (CVE-2024-6046)
Fecha de publicación:
17/06/2024
Idioma:
Español
SECOM WRTR-304GN-304TW-UPSC V02 (no admitido cuando está asignado) no filtra correctamente la entrada del usuario en la funcionalidad específica. Los atacantes remotos no autenticados pueden aprovechar esta vulnerabilidad para inyectar y ejecutar comandos arbitrarios del sistema en el dispositivo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/06/2024

Vulnerabilidad en TECNOMobile (CVE-2024-5163)
Fecha de publicación:
17/06/2024
Idioma:
Español
La configuración incorrecta de permisos para aplicaciones móviles (com.transsion.carlcare) puede provocar riesgos de seguridad de la cuenta y la contraseña del usuario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/08/2024

Vulnerabilidad en D-Link (CVE-2024-6044)
Fecha de publicación:
17/06/2024
Idioma:
Español
Ciertos modelos de enrutadores inalámbricos D-Link tienen una vulnerabilidad de path traversal. Los atacantes no autenticados en la misma red de área local pueden leer archivos arbitrarios del sistema manipulando la URL.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2024

Vulnerabilidad en SourceCodester Best House Rental Management System 1.0 (CVE-2024-6043)
Fecha de publicación:
17/06/2024
Idioma:
Español
Una vulnerabilidad ha sido encontrada en SourceCodester Best House Rental Management System 1.0 y clasificada como crítica. Esto afecta la función de inicio de sesión del archivo admin_class.php. La manipulación del argumento nombre de usuario conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-268767.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/08/2024

Vulnerabilidad en itsourcecode Real Estate Management System 1.0 (CVE-2024-6042)
Fecha de publicación:
17/06/2024
Idioma:
Español
Se encontró una vulnerabilidad en itsourcecode Real Estate Management System 1.0. Ha sido calificada como crítica. Una función desconocida del archivo property-detail.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-268766 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/08/2024

Vulnerabilidad en itsourcecode Gym Management System 1.0 (CVE-2024-6041)
Fecha de publicación:
16/06/2024
Idioma:
Español
Se encontró una vulnerabilidad en itsourcecode Gym Management System 1.0. Ha sido declarada crítica. Una función desconocida del archivo enable_user.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-268765.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/08/2024

Vulnerabilidad en Ghost (CVE-2024-34451)
Fecha de publicación:
16/06/2024
Idioma:
Español
Ghost hasta 5.85.1 permite a atacantes remotos eludir un mecanismo de protección de límite de tasa de autenticación mediante el uso de muchos encabezados X-Forwarded-For con diferentes valores. NOTA: la posición del proveedor es que Ghost debe instalarse con un proxy inverso que permita solo encabezados X-Forwarded-For confiables.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/06/2025

Vulnerabilidad en Feng Office (CVE-2024-6039)
Fecha de publicación:
16/06/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en Feng Office 3.11.1.2 y clasificada como crítica. Una función desconocida del componente Workspaces es afectada por esta vulnerabilidad. La manipulación del argumento dim conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-268752.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/08/2024

Vulnerabilidad en Progress Sitefinity (CVE-2023-27636)
Fecha de publicación:
16/06/2024
Idioma:
Español
Progress Sitefinity anterior a 15.0.0 permite XSS por parte de usuarios autenticados a través del formulario de contenido en el Editor SF.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2024

Vulnerabilidad en iTerm2 (CVE-2024-38396)
Fecha de publicación:
16/06/2024
Idioma:
Español
Se descubrió un problema en iTerm2 3.5.x anterior a 3.5.2. El uso sin filtrar de una secuencia de escape para informar el título de una ventana, en combinación con la función de integración tmux incorporada (habilitada de forma predeterminada), permite a un atacante inyectar código arbitrario en la terminal, una vulnerabilidad diferente a CVE-2024-38395.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/06/2025

Vulnerabilidad en irodsServerMonPerf en iRODS (CVE-2024-38461)
Fecha de publicación:
16/06/2024
Idioma:
Español
irodsServerMonPerf en iRODS anteriores a 4.3.2 intenta continuar con el uso de una ruta incluso si no es un directorio.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/10/2024
Suscribirse a Vulnerabilidades