Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2023-50977
Fecha de publicación:
27/05/2024
Idioma:
Español
En GNOME Shell hasta la versión 45.2, se puede lograr la ejecución remota de código no autenticado interceptando dos solicitudes de DNS (verificaciones de conectividad de GNOME Network Manager y GNOME Shell Portal Helper) y respondiendo con direcciones IP específicas del atacante. Este secuestro de DNS hace que GNOME Captive Portal se inicie a través de un navegador WebKitGTK, de forma predeterminada, en el sistema víctima; esto puede ejecutar código JavaScript dentro de una zona de pruebas. NOTA: la posición del proveedor es que esto no es una vulnerabilidad porque el comportamiento previsto es ejecutar código JavaScript dentro de un entorno limitado.
Gravedad: Pendiente de análisis
Última modificación:
28/05/2024

Vulnerabilidad en configureNFS (CVE-2024-34477)
Fecha de publicación:
27/05/2024
Idioma:
Español
configureNFS en lib/common/functions.sh en FOG hasta 1.5.10 permite a los usuarios locales obtener privilegios al montar un recurso compartido NFS manipulado (debido a no_root_squash e inseguro). Para aprovechar la vulnerabilidad, alguien necesita montar un recurso compartido NFS para agregar un archivo ejecutable como root. Además, se debe agregar el bit SUID a este archivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2025

Vulnerabilidad en RhinOS 3.0-1190 (CVE-2024-5409)
Fecha de publicación:
27/05/2024
Idioma:
Español
RhinOS 3.0-1190 es vulnerable a un XSS a través del parámetro "tamper" en /admin/lib/phpthumb/phpthumb.php. Un atacante podría crear una URL maliciosa y enviarla a una víctima para obtener los detalles de su sesión.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/06/2025

CVE-2024-3381
Fecha de publicación:
27/05/2024
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority.
Gravedad: Pendiente de análisis
Última modificación:
27/05/2024

Vulnerabilidad en RhinOS 3.0-1190 (CVE-2024-5407)
Fecha de publicación:
27/05/2024
Idioma:
Español
Una vulnerabilidad en RhinOS 3.0-1190 podría permitir la inyección de código PHP a través del parámetro "búsqueda" en /portal/search.htm. Esta vulnerabilidad podría permitir que un atacante remoto realice un shell inverso en el sistema remoto, comprometiendo toda la infraestructura.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/06/2025

Vulnerabilidad en RhinOS 3.0-1190 (CVE-2024-5408)
Fecha de publicación:
27/05/2024
Idioma:
Español
Vulnerabilidad en RhinOS 3.0-1190 consistente en un XSS a través del parámetro "buscar" de /portal/search.htm. Esta vulnerabilidad podría permitir que un atacante remoto robe detalles de la sesión de usuario de una víctima enviando una URL especialmente manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/06/2025

Vulnerabilidad en WinNMP 19.02 (CVE-2024-5405)
Fecha de publicación:
27/05/2024
Idioma:
Español
Se descubrió una vulnerabilidad en WinNMP 19.02 que consiste en un ataque XSS a través de la página /tools/redis.php en los parámetros k, hash, key y p. Esta vulnerabilidad podría permitir que un usuario remoto envíe un payload de JavaScript especialmente manipulado para que un usuario autenticado recupere los detalles de su sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2024

Vulnerabilidad en WinNMP 19.02 (CVE-2024-5406)
Fecha de publicación:
27/05/2024
Idioma:
Español
Se descubrió una vulnerabilidad en WinNMP 19.02 que consiste en un ataque XSS a través de la página de índice en los parámetros from, asunto, text y hash. Esta vulnerabilidad podría permitir que un usuario remoto envíe una consulta especialmente manipulada a un usuario autenticado y robe los detalles de su sesión.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2024

Vulnerabilidad en libvpx (CVE-2023-6349)
Fecha de publicación:
27/05/2024
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de montón en libvpx codificar un frame que tiene dimensiones mayores que el tamaño configurado originalmente con VP9 puede resultar en un desbordamiento de montón en libvpx. Recomendamos actualizar a la versión 1.13.1 o superior.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/07/2025

Vulnerabilidad en Logpoint (CVE-2024-36383)
Fecha de publicación:
27/05/2024
Idioma:
Español
Se descubrió un problema en la autenticación SAML de Logpoint anterior a 6.0.3. Un atacante puede colocar un nombre de archivo manipulado en el campo de estado de una respuesta SAML SSO-URL y el archivo correspondiente a este nombre de archivo finalmente se eliminará. Esto puede provocar una interrupción del inicio de sesión de autenticación SAML.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2025

Vulnerabilidad en Archer C4500 (CVE-2024-5035)
Fecha de publicación:
27/05/2024
Idioma:
Español
El dispositivo afectado expone un servicio de red llamado "rftest" que es vulnerable a la inyección de comandos no autenticados en los puertos TCP/8888, TCP/8889 y TCP/8890. Al explotar con éxito esta falla, un atacante remoto no autenticado puede obtener la ejecución de comandos arbitrarios en el dispositivo con privilegios elevados. Este problema afecta a Archer C4500X: hasta 1_1.1.6.
Gravedad: Pendiente de análisis
Última modificación:
29/05/2024

Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus (CVE-2024-27314)
Fecha de publicación:
27/05/2024
Idioma:
Español
Las versiones de Zoho ManageEngine ServiceDesk Plus inferiores a 14730, ServiceDesk Plus MSP inferiores a 14720 y SupportCenter Plus inferiores a 14730 son vulnerables a XSS almacenado en el menú Acciones personalizadas en los detalles de la solicitud. Esta vulnerabilidad solo puede ser aprovechada por los usuarios de la función SDAdmin.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/06/2025
Suscribirse a Vulnerabilidades