Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Projectworlds Online Admission System v1 (CVE-2024-51060)
Fecha de publicación:
31/10/2024
Idioma:
Español
Projectworlds Online Admission System v1 es vulnerable a la inyección SQL en index.php a través del parámetro 'a_id'.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/05/2025

Vulnerabilidad en Phpgurukul Teachers Record Management System v2.1 (CVE-2024-51063)
Fecha de publicación:
31/10/2024
Idioma:
Español
Phpgurukul Teachers Record Management System v2.1 es vulnerable a la inyección SQL en add-teacher.php a través del parámetro mobile number o email.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/03/2025

Vulnerabilidad en Phpgurukul Teachers Record Management System v2.1 (CVE-2024-51064)
Fecha de publicación:
31/10/2024
Idioma:
Español
Phpgurukul Teachers Record Management System v2.1 es vulnerable a la inyección SQL a través del parámetro tid en admin/queries.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/03/2025

Vulnerabilidad en Phpgurukul Beauty Parlour Management System v1.1 (CVE-2024-51065)
Fecha de publicación:
31/10/2024
Idioma:
Español
Phpgurukul Beauty Parlour Management System v1.1 es vulnerable a la inyección SQL en admin/index.php a través del parámetro username.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/03/2025

Vulnerabilidad en Phpgurukul's Beauty Parlour Management System v1.1 (CVE-2024-51066)
Fecha de publicación:
31/10/2024
Idioma:
Español
Una vulnerabilidad de referencia directa insegura a objetos (IDOR) en appointment-detail.php en Phpgurukul's Beauty Parlour Management System v1.1 permite el acceso no autorizado a la información de identificación personal (PII) de otros clientes.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/04/2025

Vulnerabilidad en MobaXterm v24.2 (CVE-2024-48200)
Fecha de publicación:
31/10/2024
Idioma:
Español
Un problema en MobaXterm v24.2 permite que un atacante local escale privilegios y ejecute código arbitrario a través de la función de eliminación de MobaXterm MSI, lo que genera una cmd administrativa (conhost.exe).
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Studio-42 eLfinder 2.1.62 (CVE-2023-52044)
Fecha de publicación:
31/10/2024
Idioma:
Español
Studio-42 eLfinder 2.1.62 es vulnerable a la ejecución remota de código (RCE) ya que no hay restricciones para cargar archivos con la extensión .php8.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/04/2025

Vulnerabilidad en Studio-42 eLfinder 2.1.62 (CVE-2023-52045)
Fecha de publicación:
31/10/2024
Idioma:
Español
Studio-42 eLfinder 2.1.62 contiene una omisión de restricción de nombre de archivo que genera una vulnerabilidad persistente de cross site scripting (XSS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2025

Vulnerabilidad en Webswing 23.2.2 (CVE-2024-39332)
Fecha de publicación:
31/10/2024
Idioma:
Español
Webswing 23.2.2 permite a atacantes remotos modificar el código JavaScript del lado del cliente para lograr el path traversal, lo que probablemente conduce a la ejecución remota de código a través de la modificación de shell scripts en el servidor.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/07/2025

Vulnerabilidad en mpg123 (CVE-2024-10573)
Fecha de publicación:
31/10/2024
Idioma:
Español
Se encontró un fallo de escritura fuera de los límites en mpg123 al manejar transmisiones creadas. Al decodificar PCM, libmpg123 puede escribir más allá del final de un búfer ubicado en el almacenamiento dinámico. En consecuencia, puede ocurrir una corrupción del almacenamiento dinámico y no se descarta la ejecución de código arbitrario. La complejidad requerida para explotar este fallo se considera alta ya que el payload debe ser validado por el decodificador MPEG y el sintetizador PCM antes de la ejecución. Además, para ejecutar el ataque con éxito, el usuario debe escanear la transmisión, lo que hace que el contenido de transmisión en vivo web (como radios web) sea un vector de ataque muy poco probable.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Glossarizer (CVE-2024-42515)
Fecha de publicación:
31/10/2024
Idioma:
Español
Glossarizer hasta la versión 1.5.2 intenta convertir texto en HTML de forma incorrecta. Aunque la aplicación en sí misma omite caracteres especiales (por ejemplo, <>), la librería subyacente convierte estos caracteres codificados en HTML legítimo, lo que posiblemente cause XSS almacenado. Los atacantes pueden agregar un payload XSS a una palabra que tenga una entrada de glosario correspondiente.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Laravel Reverb (CVE-2024-50347)
Fecha de publicación:
31/10/2024
Idioma:
Español
Laravel Reverb proporciona un backend de comunicación WebSocket en tiempo real para aplicaciones Laravel. Antes de la versión 1.4.0, había un problema en el que no se verificaban las firmas de verificación para las solicitudes enviadas a la API compatible con Pusher de Reverb. Esta API se utiliza en escenarios como la transmisión de un mensaje desde un servicio backend o para obtener información estadística (como la cantidad de conexiones) sobre un canal determinado. Este problema solo afecta a los endpoints de la API compatible con Pusher y no a las conexiones WebSocket en sí. Para explotar esta vulnerabilidad, el ID de la aplicación, que nunca debería exponerse, debería ser conocido por un atacante. Esta vulnerabilidad se solucionó en la versión 1.4.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades