Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Infinera TNMS (CVE-2024-25660)
Fecha de publicación:
01/10/2024
Idioma:
Español
El servicio WebDAV en Infinera TNMS (Transcend Network Management System) 19.10.3 permite que un atacante remoto con pocos privilegios realice operaciones de archivos no autorizadas debido a la ejecución con privilegios innecesarios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/07/2025

Vulnerabilidad en OSS Endpoint Manager (CVE-2024-47071)
Fecha de publicación:
01/10/2024
Idioma:
Español
OSS Endpoint Manager es un módulo de administración de endpoints para FreePBX. La activación del módulo OSS Endpoint Manager puede permitir que usuarios web autenticados accedan sin autorización a archivos del sistema con los permisos del proceso del servidor web. Esta vulnerabilidad se solucionó en la versión 14.0.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Go (CVE-2024-47534)
Fecha de publicación:
01/10/2024
Idioma:
Español
go-tuf es una implementación de Go de The Update Framework (TUF). El cliente go-tuf rastrea las delegaciones de forma inconsistente. Por ejemplo, si los destinos delegan a "A" y a "B", y "B" delega a "C", entonces el cliente debería rastrear las delegaciones en el orden "A", luego "B" y luego "C", pero puede rastrear incorrectamente las delegaciones "B" -> "C" -> "A". Esta vulnerabilidad se solucionó en la versión 2.0.1.
Gravedad CVSS v4.0: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en eLabFTW (CVE-2024-45408)
Fecha de publicación:
01/10/2024
Idioma:
Español
eLabFTW es un cuaderno de laboratorio electrónico de código abierto para laboratorios de investigación. Se ha detectado una comprobación de permisos incorrecta que podría permitir que un usuario autenticado acceda a varios tipos de información que de otro modo estaría restringida. Si se permite el acceso anónimo (algo deshabilitado de forma predeterminada), esto se extiende a cualquier persona. Se recomienda a los usuarios que actualicen al menos a la versión 5.1.0. Los administradores de System pueden deshabilitar el acceso anónimo en el panel de configuración de System.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/10/2024

Vulnerabilidad en Pagekit 1.0.18 (CVE-2024-45967)
Fecha de publicación:
01/10/2024
Idioma:
Español
Pagekit 1.0.18 es vulnerable a Cross Site Scripting (XSS) en index.php/admin/site/widget.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

Vulnerabilidad en PCAN-Ethernet Gateway FD y PCAN-Ethernet Gateway (CVE-2024-44610)
Fecha de publicación:
01/10/2024
Idioma:
Español
PCAN-Ethernet Gateway FD anterior a 1.3.0 y PCAN-Ethernet Gateway anterior a 2.11.0 son vulnerables a la inyección de comandos a través de metacaracteres de shell en una actualización de software en processing.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en eLabFTW (CVE-2024-25632)
Fecha de publicación:
01/10/2024
Idioma:
Español
eLabFTW es un cuaderno de laboratorio electrónico de código abierto para laboratorios de investigación. En el contexto de eLabFTW, un administrador es una cuenta de usuario con ciertos privilegios para administrar usuarios y contenido en su equipo o equipos asignados. Un usuario puede ser administrador en un equipo y usuario regular en otro. La vulnerabilidad permite que un usuario regular se convierta en administrador de un equipo del que es miembro, bajo una configuración razonable. Además, en versiones de eLabFTW posteriores a la v5.0.0, la vulnerabilidad puede permitir que un usuario inicialmente no autenticado obtenga privilegios administrativos sobre un equipo arbitrario. La vulnerabilidad no afecta el estado de administrador del sistema. Los usuarios deben actualizar a la versión 5.1.0. Se recomienda a los administradores del sistema que desactiven el registro de usuarios locales, saml_team_create y no permitan que los administradores importen usuarios a los equipos, a menos que sea estrictamente necesario.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/08/2025

Vulnerabilidad en Infinera TNMS (CVE-2024-25658)
Fecha de publicación:
01/10/2024
Idioma:
Español
El almacenamiento de contraseñas en texto plano en Infinera TNMS (Transcend Network Management System) Server 19.10.3 permite a los atacantes (con acceso a la base de datos o a los archivos de configuración exportados) obtener los nombres de usuario y las contraseñas de los usuarios de SNMP en texto plano.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/07/2025

Vulnerabilidad en Infinera TNMS (CVE-2024-25661)
Fecha de publicación:
01/10/2024
Idioma:
Español
En Infinera TNMS (Transcend Network Management System) 19.10.3, el almacenamiento de texto plano de información confidencial en la memoria de la aplicación de escritorio TNMS Client permite a los administradores del sistema operativo invitado obtener las contraseñas de varios usuarios leyendo volcados de memoria de la aplicación de escritorio.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2025

Vulnerabilidad en Decidim (CVE-2024-41673)
Fecha de publicación:
01/10/2024
Idioma:
Español
Decidim es un framework de democracia participativa. La función de control de versiones utilizada en los recursos está sujeta a posibles ataques XSS a través de una URL mal formada. Esta vulnerabilidad se solucionó en la versión 0.27.8.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en The Bluetooth Core Specification (CVE-2021-37577)
Fecha de publicación:
01/10/2024
Idioma:
Español
El emparejamiento de conexiones seguras de Bluetooth LE y BR/EDR y el emparejamiento simple seguro mediante el protocolo de entrada de clave de acceso en las especificaciones básicas de Bluetooth 2.1 a 5.3 pueden permitir que un atacante intermediario no autenticado identifique la clave de acceso utilizada durante el emparejamiento mediante el reflejo de una clave pública manipulada con la misma coordenada X que la clave pública ofrecida y mediante el reflejo de la evidencia de autenticación del dispositivo iniciador, lo que potencialmente permite que este atacante complete el emparejamiento autenticado con el dispositivo que responde utilizando la clave de acceso correcta para la sesión de emparejamiento. Este es un problema relacionado con CVE-2020-26558.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en cute_png v1.05 (CVE-2024-46264)
Fecha de publicación:
01/10/2024
Idioma:
Español
Se descubrió que cute_png v1.05 contenía un desbordamiento de búfer de montón a través de la función cp_find() en cute_png.h.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2025
Suscribirse a Vulnerabilidades