Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en FFmpeg 7.0 (CVE-2024-32228)
Fecha de publicación:
01/07/2024
Idioma:
Español
FFmpeg 7.0 es vulnerable al desbordamiento del búfer. Hay un SEGV en libavcodec/hevcdec.c:2947:22 en hevc_frame_end.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2025

Vulnerabilidad en FFmpeg 7.0 (CVE-2024-32229)
Fecha de publicación:
01/07/2024
Idioma:
Español
FFmpeg 7.0 contiene un desbordamiento del búfer de montón en libavfilter/vf_tiltandshift.c:189:5 en copy_column.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/06/2025

Vulnerabilidad en FFmpeg 7.0 (CVE-2024-32230)
Fecha de publicación:
01/07/2024
Idioma:
Español
FFmpeg 7.0 es vulnerable al desbordamiento del búfer. Hay un error de parámetro de tamaño negativo en libavcodec/mpegvideo_enc.c:1216:21 en load_input_picture en FFmpeg7.0
Gravedad CVSS v3.1: ALTA
Última modificación:
14/03/2025

Vulnerabilidad en CoacoaPods (CVE-2024-38366)
Fecha de publicación:
01/07/2024
Idioma:
Español
trunk.cocoapods.org es el servidor de autenticación para el administrador de dependencias de CoacoaPods. La parte del tronco que verifica si un usuario tiene una dirección de correo electrónico real al registrarse utilizó una librería rfc-822 que ejecuta un comando de shell para validar la validez de los registros MX del dominio de correo electrónico. Funciona a través de un DNS MX. Esta búsqueda podría manipularse para ejecutar también un comando en el servidor troncal, otorgando efectivamente acceso raíz al servidor y a la infraestructura. Este problema se solucionó en el lado del servidor con el commit 001cc3a430e75a16307f5fd6cdff1363ad2f40f3 en septiembre de 2023. Este RCE desencadenó un restablecimiento completo de la sesión del usuario, ya que un atacante podría haber usado este método para escribir en cualquier Podspec en el tronco.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/09/2024

Vulnerabilidad en Async (CVE-2024-39249)
Fecha de publicación:
01/07/2024
Idioma:
Español
Async <= 2.6.4 y <= 3.2.5 son vulnerables a ReDoS (Denegación de servicio de expresión regular) mientras analiza la función en la función de autoinyección.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2024

Vulnerabilidad en Fiber (CVE-2024-38513)
Fecha de publicación:
01/07/2024
Idioma:
Español
Fiber es un framework web inspirado en Express escrito en Go. Una vulnerabilidad presente en versiones anteriores a la 2.52.5 es un problema de middleware de sesión en las versiones 2 y superiores de GoFiber. Esta vulnerabilidad permite a los usuarios proporcionar su propio valor session_id, lo que da como resultado la creación de una sesión con esa clave. Si un sitio web depende de la mera presencia de una sesión por motivos de seguridad, esto puede generar importantes riesgos de seguridad, incluido el acceso no autorizado y ataques de fijación de sesión. Todos los usuarios que utilizan el middleware de sesión de GoFiber en las versiones afectadas se ven afectados. El problema se solucionó en la versión 2.52.5. Se recomienda encarecidamente a los usuarios que actualicen a la versión 2.52.5 o superior para mitigar esta vulnerabilidad. Los usuarios que no puedan actualizar inmediatamente pueden aplicar las siguientes soluciones para reducir el riesgo: implementar una validación adicional para garantizar que los ID de sesión no sean proporcionados por el usuario y sean generados de forma segura por el servidor, o rotar periódicamente los ID de sesión y aplicar políticas estrictas de caducidad de sesión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/10/2025

Vulnerabilidad en Gradio v4.36.1 (CVE-2024-39236)
Fecha de publicación:
01/07/2024
Idioma:
Español
Se descubrió que Gradio v4.36.1 contiene una vulnerabilidad de inyección de código a través del componente /gradio/component_meta.py. Esta vulnerabilidad se activa mediante una entrada manipulada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/06/2025

Vulnerabilidad en ThundeRobot Control Center v2.0.0.10 (CVE-2024-39251)
Fecha de publicación:
01/07/2024
Idioma:
Español
Un problema en el componente ControlCenter.sys/ControlCenter64.sys de ThundeRobot Control Center v2.0.0.10 permite a los atacantes acceder a información confidencial, ejecutar código arbitrario o escalar privilegios mediante el envío de solicitudes IOCTL manipuladas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/03/2025

Vulnerabilidad en Weblate (CVE-2024-39303)
Fecha de publicación:
01/07/2024
Idioma:
Español
Weblate es una herramienta de localización basada en web. Antes de la versión 5.6.2, Weblate no validaba correctamente los nombres de archivos al restaurar la copia de seguridad del proyecto. Es posible obtener acceso no autorizado a archivos en el servidor utilizando un archivo ZIP manipulado. Este problema se ha solucionado en Weblate 5.6.2. Como workaround, no permita que usuarios que no sean de confianza creen proyectos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/08/2024

Vulnerabilidad en Apache HTTP Server 2.4.59 (CVE-2024-38477)
Fecha de publicación:
01/07/2024
Idioma:
Español
La desreferencia del puntero nulo en mod_proxy en Apache HTTP Server 2.4.59 y versiones anteriores permite a un atacante bloquear el servidor mediante una solicitud maliciosa. Se recomienda a los usuarios actualizar a la versión 2.4.60, que soluciona este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en Apache HTTP Server 2.4.59 (CVE-2024-39573)
Fecha de publicación:
01/07/2024
Idioma:
Español
El potencial SSRF en mod_rewrite en Apache HTTP Server 2.4.59 y versiones anteriores permite a un atacante provocar que RewriteRules inseguras configuren inesperadamente URL para que sean manejadas por mod_proxy. Se recomienda a los usuarios actualizar a la versión 2.4.60, que soluciona este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en Flowise (CVE-2024-37146)
Fecha de publicación:
01/07/2024
Idioma:
Español
Flowise es una interfaz de usuario de arrastrar y soltar para crear un flujo de modelo de lenguaje grande personalizado. En la versión 1.4.3 de Flowise, se produce una vulnerabilidad de cross-site scripting reflejado en el endpoint `/api/v1/credentials/id`. Si se utiliza la configuración predeterminada (no autenticada), un atacante puede crear una URL especialmente manipulada que inyecta Javascript en las sesiones del usuario, lo que le permite robar información, crear ventanas emergentes falsas o incluso redirigir al usuario a otros sitios web sin interacción. Si no se encuentra el ID del flujo de chat, su valor se refleja en la página 404, que tiene el tipo texto/html. Esto permite a un atacante adjuntar scripts arbitrarios a la página, lo que le permite robar información confidencial. Este XSS puede encadenarse con la inyección de ruta para permitir que un atacante sin acceso directo a Flowise lea archivos arbitrarios del servidor Flowise. Al momento de la publicación, no hay parches conocidos disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/08/2024
Suscribirse a Vulnerabilidades