Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Sensei Mac Cleaner (CVE-2024-7915)
Fecha de publicación:
25/11/2024
Idioma:
Español
La aplicación Sensei Mac Cleaner contiene una vulnerabilidad de escalada de privilegios locales, que permite a un atacante realizar múltiples operaciones como usuario superusuario. Estas operaciones incluyen la eliminación y escritura arbitraria de archivos, la carga y descarga de daemons, la manipulación de permisos de archivos y la carga de extensiones, entre otras acciones. Se puede contactar con el módulo vulnerable org.cindori.SenseiHelper a través de XPC. Si bien el módulo realiza la validación del cliente, se basa en el PID del cliente obtenido a través de la propiedad pública processIdentifier de la clase NSXPCConnection. Este enfoque hace que el módulo sea susceptible a un ataque de reutilización de PID, lo que permite a un atacante hacerse pasar por un cliente legítimo y enviar mensajes XPC diseñados para invocar métodos arbitrarios expuestos por la interfaz HelperProtocol.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en com.uaudio.bsd.helper (CVE-2024-8272)
Fecha de publicación:
25/11/2024
Idioma:
Español
El servicio com.uaudio.bsd.helper, responsable de gestionar operaciones privilegiadas, no implementa una validación crítica del cliente durante la comunicación entre procesos (IPC) de XPC. En concreto, el servicio no verifica los requisitos de código, los derechos ni los indicadores de seguridad de ningún cliente que intente establecer una conexión. Esta falta de validación adecuada permite que clientes no autorizados exploten los métodos del servicio y escalen privilegios a superusuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en libre-chat v0.0.6 (CVE-2024-52787)
Fecha de publicación:
25/11/2024
Idioma:
Español
Un problema en el método upload_documents de libre-chat v0.0.6 permite a los atacantes ejecutar un path traversal mediante el suministro de un nombre de archivo manipulado en un archivo cargado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Centreon centreon-open-tickets (CVE-2024-45756)
Fecha de publicación:
25/11/2024
Idioma:
Español
Se descubrió un problema en Centreon centreon-open-tickets 24.10.x anterior a 24.10.0, 24.04.x anterior a 24.04.2, 23.10.x anterior a 23.10.1, 23.04.x anterior a 23.04.3 y 22.10.x anterior a 22.10.2. La inyección SQL puede ocurrir en el formulario para crear un ticket. La explotación solo es accesible para usuarios autenticados con acceso con privilegios elevados.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Centreon centreon-dsm-server (CVE-2024-45755)
Fecha de publicación:
25/11/2024
Idioma:
Español
Se descubrió un problema en Centreon centreon-dsm-server 24.10.x anterior a 24.10.0, 24.04.x anterior a 24.04.3, 23.10.x anterior a 23.10.1, 23.04.x anterior a 23.04.3 y 22.10.x anterior a 22.10.2. La inyección de SQL puede ocurrir en el formulario para configurar las ranuras de Centreon DSM. La explotación solo es accesible para usuarios autenticados con acceso con privilegios elevados.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en IBM Jazz Foundation 7.0.2 (CVE-2023-45181)
Fecha de publicación:
25/11/2024
Idioma:
Español
IBM Jazz Foundation 7.0.2 y versiones anteriores son vulnerables a ataques de cross-site scripting. Esta vulnerabilidad permite a los usuarios incorporar código JavaScript arbitrario en la interfaz web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales dentro de una sesión de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/01/2025

Vulnerabilidad en IBM Jazz Foundation (CVE-2023-26280)
Fecha de publicación:
25/11/2024
Idioma:
Español
IBM Jazz Foundation 7.0.2 y 7.0.3 podrían permitir que un usuario cambie su panel de control mediante una solicitud HTTP especialmente manipulada debido a un control de acceso inadecuado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2025

Vulnerabilidad en Devolutions Remote Desktop Manager (CVE-2024-11671)
Fecha de publicación:
25/11/2024
Idioma:
Español
La autenticación incorrecta en la validación de MFA de la fuente de datos SQL en Devolutions Remote Desktop Manager 2024.3.17 y versiones anteriores en Windows permite que un usuario autenticado omita la validación de MFA a través del cambio de fuente de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en Devolutions Remote Desktop Manager (CVE-2024-11672)
Fecha de publicación:
25/11/2024
Idioma:
Español
La autorización incorrecta en el componente de agregar permiso en Devolutions Remote Desktop Manager 2024.2.21 y versiones anteriores en Windows permite que un usuario malintencionado autenticado omita el permiso "Agregar" a través de la función de importación en bóveda.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en Devolutions Remote Desktop Manager (CVE-2024-11670)
Fecha de publicación:
25/11/2024
Idioma:
Español
La autorización incorrecta en el componente de validación de permisos de Devolutions Remote Desktop Manager 2024.2.21 y versiones anteriores en Windows permite que un usuario autenticado malintencionado eluda el permiso "Ver contraseña" mediante acciones específicas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en LibJXL (CVE-2024-11403)
Fecha de publicación:
25/11/2024
Idioma:
Español
Existe una lectura/escritura fuera de los límites en las versiones de LibJXL anteriores a el commit 9cc451b91b74ba470fd72bd48c121e9f33d24c99. El decodificador JPEG utilizado por el codificador JPEG XL al realizar la recompresión JPEG (es decir, si se utiliza JxlEncoderAddJPEGFrame en una entrada no confiable) no verifica correctamente los límites en presencia de códigos incompletos. Esto podría provocar una escritura fuera de los límites. En jpegli, que se publica como parte del mismo proyecto, está presente la misma vulnerabilidad. Sin embargo, el búfer relevante es parte de una estructura más grande y el código no hace suposiciones sobre los valores que se podrían sobrescribir. Sin embargo, el problema podría hacer que jpegli lea memoria no inicializada o direcciones de funciones.
Gravedad CVSS v4.0: MEDIA
Última modificación:
24/07/2025

Vulnerabilidad en libjxl (CVE-2024-11498)
Fecha de publicación:
25/11/2024
Idioma:
Español
Existe un desbordamiento del búfer de pila en libjxl. Un archivo creado específicamente puede hacer que el decodificador JPEG XL utilice grandes cantidades de espacio de pila (hasta 256 MB es posible, tal vez 512 MB), lo que podría agotar la pila. Un atacante puede crear un archivo que cause un uso excesivo de la memoria. Recomendamos actualizar a partir de el commit 65fbec56bc578b6b6ee02a527be70787bbd053b0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
23/07/2025
Suscribirse a Vulnerabilidades