Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Sonos Era 100 SMB2 (CVE-2024-5269)
Fecha de publicación:
06/06/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código de Use-After-Free en el manejo de mensajes de Sonos Era 100 SMB2. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas de los altavoces inteligentes Sonos Era 100. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en el manejo de mensajes SMB2. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Era ZDI-CAN-22459.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/09/2024

Vulnerabilidad en gradio-app/gradio (CVE-2024-4325)
Fecha de publicación:
06/06/2024
Idioma:
Español
Existe una vulnerabilidad de Server-Side Request Forgery (SSRF) en gradio-app/gradio versión 4.21.0, específicamente dentro del endpoint `/queue/join` y la función `save_url_to_cache`. La vulnerabilidad surge cuando el valor de "ruta", obtenido del usuario y que se espera que sea una URL, se utiliza para realizar una solicitud HTTP sin suficientes comprobaciones de validación. Esta falla permite a un atacante enviar solicitudes manipuladas que podrían conducir a un acceso no autorizado a la red local o al endpoint de metadatos de AWS, comprometiendo así la seguridad de los servidores internos.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2024

Vulnerabilidad en berriai/litellm (CVE-2024-4889)
Fecha de publicación:
06/06/2024
Idioma:
Español
Existe una vulnerabilidad de inyección de código en la aplicación berriai/litellm, versión 1.34.6, debido al uso de entradas no validadas en la función de evaluación dentro del sistema de gestión de secretos. Esta vulnerabilidad requiere un archivo de configuración de Google KMS válido para ser explotable. Específicamente, al configurar la variable `UI_LOGO_PATH` en una dirección de servidor remoto en la función `get_image`, un atacante puede escribir un archivo de configuración malicioso de Google KMS en el archivo `cached_logo.jpg`. Este archivo luego se puede usar para ejecutar código arbitrario asignando código malicioso a la variable de entorno `SAVE_CONFIG_TO_DB`, lo que lleva al control total del sistema. La vulnerabilidad depende del uso de la función Google KMS.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2024

Vulnerabilidad en gradio-app/gradio (CVE-2024-4941)
Fecha de publicación:
06/06/2024
Idioma:
Español
Existe una vulnerabilidad de inclusión de archivos locales en el componente JSON de gradio-app/gradio versión 4.25. La vulnerabilidad surge de una validación de entrada incorrecta en la función `postprocess()` dentro de `gradio/components/json_component.py`, donde una cadena controlada por el usuario se analiza como JSON. Si el objeto JSON analizado contiene una clave `ruta`, el archivo especificado se mueve a un directorio temporal, lo que permite recuperarlo más tarde a través del endpoint `/file=..`. Este problema se debe a que la función `processing_utils.move_files_to_cache()` atraviesa cualquier objeto que se le pasa, busca un diccionario con una clave `path` y luego copia el archivo especificado en un directorio temporal. Un atacante puede aprovechar la vulnerabilidad para leer archivos en el sistema remoto, lo que representa un riesgo de seguridad significativo.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2025

Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-3033)
Fecha de publicación:
06/06/2024
Idioma:
Español
Existe una vulnerabilidad de autorización inadecuada en la aplicación mintplex-labs/anything-llm, específicamente dentro del endpoint '/api/v/' y sus subrutas. Esta falla permite a usuarios no autenticados realizar acciones destructivas en VectorDB, incluido restablecer la base de datos y eliminar espacios de nombres específicos, sin requerir autorización ni permisos. El problema afecta a todas las versiones hasta la última versión incluida, con una solución introducida en la versión 1.0.0. La explotación de esta vulnerabilidad puede provocar la pérdida completa de datos de documentos incrustados en todos los espacios de trabajo, lo que hace que los chats del espacio de trabajo y los widgets de chat incrustados no funcionen. Además, los atacantes pueden enumerar todos los espacios de nombres, lo que podría exponer los nombres de los espacios de trabajo privados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/11/2024

Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-3104)
Fecha de publicación:
06/06/2024
Idioma:
Español
Existe una vulnerabilidad de ejecución remota de código en mintplex-labs/anything-llm debido al manejo inadecuado de las variables de entorno. Los atacantes pueden explotar esta vulnerabilidad inyectando variables de entorno arbitrarias a través del endpoint `POST /api/system/update-env`, que permite la ejecución de código arbitrario en el host que ejecuta cualquier cosa-llm. La vulnerabilidad está presente en la última versión de everything-llm, con el ultimo commit identificada como fde905aac1812b84066ff72e5f2f90b56d4c3a59. Este problema se solucionó en la versión 1.0.0. Una explotación exitosa podría conducir a la ejecución de código en el host, lo que permitiría a los atacantes leer y modificar datos accesibles para el usuario que ejecuta el servicio, lo que podría conducir a una denegación de servicio.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/10/2024

Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-3152)
Fecha de publicación:
06/06/2024
Idioma:
Español
mintplex-labs/anything-llm es vulnerable a múltiples problemas de seguridad debido a una validación de entrada incorrecta en varios endpoints. Un atacante puede aprovechar estas vulnerabilidades para escalar privilegios de una función de usuario predeterminada a una función de administrador, leer y eliminar archivos arbitrarios en el sistema y realizar ataques de Server-Side Request Forgery (SSRF). Las vulnerabilidades están presentes en `/request-token`, `/workspace/:slug/thread/:threadSlug/update`, `/system/remove-logo`, `/system/logo`, and collector's `/process` endpoints. Estos problemas se deben a que la aplicación no valida adecuadamente la entrada del usuario antes de pasarla a las funciones "prisma" y otras operaciones críticas. Las versiones afectadas incluyen la última versión anterior a 1.0.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2025

Vulnerabilidad en lunary-ai/lunary (CVE-2024-3504)
Fecha de publicación:
06/06/2024
Idioma:
Español
Existe una vulnerabilidad de control de acceso inadecuado en las versiones lunary-ai/lunary hasta la 1.2.2 incluida, donde un administrador puede actualizar cualquier usuario de la organización al propietario de la organización. Esta vulnerabilidad permite al usuario elevado eliminar proyectos dentro de la organización. El problema se resuelve en la versión 1.2.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025

Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36736)
Fecha de publicación:
06/06/2024
Idioma:
Español
Un problema en el componente oneflow.permute de OneFlow-Inc. Oneflow v0.9.1 provoca un cálculo incorrecto cuando se realiza la misma operación de dimensión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/03/2025

Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36737)
Fecha de publicación:
06/06/2024
Idioma:
Español
Validación de entrada incorrecta en OneFlow-Inc. Oneflow v0.9.1 permite a los atacantes provocar una denegación de servicio (DoS) ingresando un valor negativo en el parámetro oneflow.full.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/05/2025

Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36743)
Fecha de publicación:
06/06/2024
Idioma:
Español
Un problema en OneFlow-Inc. Oneflow v0.9.1 permite a los atacantes provocar una denegación de servicio (DoS) cuando se procesa una matriz vacía con oneflow.dot.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/05/2025

Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36745)
Fecha de publicación:
06/06/2024
Idioma:
Español
Un problema en OneFlow-Inc. Oneflow v0.9.1 permite a los atacantes provocar una denegación de servicio (DoS) ingresando un valor negativo en el parámetro oneflow.index_select.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2025
Suscribirse a Vulnerabilidades