Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en MAP-OS (CVE-2024-35545)
Fecha de publicación:
26/06/2024
Idioma:
Español
Se descubrió que MAP-OS v4.45.0 y anteriores contienen una vulnerabilidad de Cross Site Scripting (XSS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2025

Vulnerabilidad en Devolutions Remote Desktop Manager (CVE-2024-6354)
Fecha de publicación:
26/06/2024
Idioma:
Español
El control de acceso inadecuado en el panel de PAM en Devolutions Remote Desktop Manager 2024.2.11 y versiones anteriores en Windows permite a un usuario autenticado omitir el permiso de ejecución mediante el uso del panel de PAM.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/03/2025

Vulnerabilidad en Jenkins Structs (CVE-2024-39458)
Fecha de publicación:
26/06/2024
Idioma:
Español
Cuando el complemento Jenkins Structs 337.v1b_04ea_4df7c8 y versiones anteriores no logra configurar un paso de compilación, registra un mensaje de advertencia que contiene información de diagnóstico que puede contener secretos pasados como parámetros de paso, lo que podría provocar la exposición accidental de secretos a través del registro predeterminado del sistema.
Gravedad CVSS v3.1: BAJA
Última modificación:
10/10/2025

Vulnerabilidad en Jenkins Plain Credentials (CVE-2024-39459)
Fecha de publicación:
26/06/2024
Idioma:
Español
En casos excepcionales, el complemento Jenkins Plain Credentials 182.v468b_97b_9dcb_8 y versiones anteriores almacena las credenciales de archivos secretos sin cifrar (solo codificados en Base64) en el sistema de archivos del controlador Jenkins, donde pueden ser vistos por usuarios con acceso al sistema de archivos del controlador Jenkins (credenciales globales) o con Permiso de objeto/lectura extendida (credenciales con ámbito de carpeta).
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/10/2025

Vulnerabilidad en Jenkins Bitbucket Branch Source (CVE-2024-39460)
Fecha de publicación:
26/06/2024
Idioma:
Español
El complemento Jenkins Bitbucket Branch Source 886.v44cf5e4ecec5 y anteriores imprime el token de acceso Bitbucket OAuth como parte de la URL de Bitbucket en el registro de compilación en algunos casos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/10/2025

Vulnerabilidad en Quickshare/Nearby (CVE-2024-38271)
Fecha de publicación:
26/06/2024
Idioma:
Español
Existe una vulnerabilidad en Quickshare/Nearby donde un atacante puede obligar a la víctima a permanecer conectada a un punto de acceso temporal creado para el recurso compartido. Como parte de la secuencia de paquetes en una conexión QuickShare a través de Bluetooth, el atacante obliga a la víctima a conectarse a la red WiFi del atacante y luego envía un OfflineFrame que bloquea Quick Share. Esto hace que la conexión Wifi a la red del atacante dure en lugar de regresar a la red anterior cuando finaliza la sesión de Quick Share, lo que permite que el atacante sea un MiTM. Recomendamos actualizar a la versión 1.0.1724.0 de Quickshare o superior
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2024

Vulnerabilidad en Quickshare/Nearby (CVE-2024-38272)
Fecha de publicación:
26/06/2024
Idioma:
Español
Existe una vulnerabilidad en Quickshare/Nearby donde un atacante puede omitir el cuadro de diálogo de aceptación de archivos en QuickShare Windows. Normalmente, en la aplicación QuickShare para Windows no podemos enviar un archivo sin que el usuario lo acepte desde el dispositivo receptor si la visibilidad está configurada en el modo todos o el modo contactos. Recomendamos actualizar a la versión 1.0.1724.0 de Quickshare o superior
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2024

Vulnerabilidad en October (CVE-2024-25637)
Fecha de publicación:
26/06/2024
Idioma:
Español
October es una plataforma CMS autohospedada basada en Laravel PHP Framework. El encabezado X-October-Request-Handler no sanitiza el nombre del controlador AJAX y permite que se refleje HTML sin escape. No hay ningún impacto ya que esta vulnerabilidad no se puede explotar mediante interacciones normales del navegador. Este valor sin escape solo es detectable cuando se utiliza una herramienta de interceptación de proxy. Este problema se solucionó en la versión 3.5.15.
Gravedad CVSS v3.1: BAJA
Última modificación:
29/09/2025

Vulnerabilidad en Magarsus Consultancy SSO (CVE-2024-4604)
Fecha de publicación:
26/06/2024
Idioma:
Español
La vulnerabilidad de redirección de URL a un sitio que no es de confianza ("Open Redirect") en Magarsus Consultancy SSO (inicio de sesión único) permite manipular campos ocultos. Este problema afecta al SSO (inicio de sesión único): desde 1.0 antes de 1.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2024

CVE-2024-6349
Fecha de publicación:
26/06/2024
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
26/06/2024

Vulnerabilidad en Magarsus Consultancy SSO (CVE-2024-4228)
Fecha de publicación:
26/06/2024
Idioma:
Español
Neutralización incorrecta de elementos especiales utilizados en un comando SQL ("Inyección SQL"), CWE - 200 - Exposición de información confidencial a un actor no autorizado, CWE - 522 - Vulnerabilidad de credenciales insuficientemente protegidas en Magarsus Consultancy SSO (inicio de sesión único) permite la inyección SQL .Este problema afecta al SSO (Inicio de sesión único): desde la versión 1.0 anterior a la 1.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/06/2024

Vulnerabilidad en ZKTeco ZKBio CVSecurity (CVE-2024-6344)
Fecha de publicación:
26/06/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en ZKTeco ZKBio CVSecurity V5000 4.1.0 y clasificada como problemática. Una parte desconocida del componente Push Configuration afecta a una parte desconocida. La manipulación del argumento Nombre de configuración conduce a Cross-Site Scripting. Es posible iniciar el ataque de forma remota. A esta vulnerabilidad se le asignó el identificador VDB-269733. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
10/07/2025
Suscribirse a Vulnerabilidades