Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en VegaBird Yaazhini 2.0.2 (CVE-2024-45873)
Fecha de publicación:
07/10/2024
Idioma:
Español
Una vulnerabilidad de secuestro de DLL en VegaBird Yaazhini 2.0.2 permite a los atacantes ejecutar código arbitrario/mantener la persistencia colocando un archivo DLL manipulado en el mismo directorio que Yaazhini.exe.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Solvait (CVE-2024-45919)
Fecha de publicación:
07/10/2024
Idioma:
Español
Se ha descubierto una falla de seguridad en la versión 24.4.2 de Solvait que permite a un atacante elevar sus privilegios. Al manipular los parámetros Request ID y Action Type en /AssignToMe/SetAction, un atacante puede eludir los flujos de trabajo de aprobación, lo que da lugar a un acceso no autorizado a información confidencial o a la aprobación de solicitudes fraudulentas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2025

Vulnerabilidad en Discourse (CVE-2024-47772)
Fecha de publicación:
07/10/2024
Idioma:
Español
Discourse es una plataforma de código abierto para debates comunitarios. Un atacante puede ejecutar código JavaScript arbitrario en los navegadores de los usuarios enviando un mensaje de chat manipulado con fines malintencionados y respondiéndolo. Este problema solo afecta a los sitios que tienen el CSP deshabilitado. Este problema está corregido en la última versión de Discourse. Se recomienda a todos los usuarios que actualicen la versión. Los usuarios que no puedan actualizar la versión deben asegurarse de que el CSP esté habilitado en el foro. Los usuarios que actualicen la versión también deben considerar habilitar un CSP, así como una medida proactiva.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/09/2025

Vulnerabilidad en InvenTree (CVE-2024-47610)
Fecha de publicación:
07/10/2024
Idioma:
Español
InvenTree es un sistema de gestión de inventario de código abierto. En las versiones afectadas de InvenTree, es posible que un usuario registrado almacene javascript en campos de notas de Markdown, que luego se muestran a otros usuarios registrados que visitan la misma página y se ejecutan. La vulnerabilidad se ha solucionado de la siguiente manera: 1. Se ha habilitado la desinfección de HTML en la librería de renderizado de Markdown del frontend: `easymde`. 2. El Markdown almacenado también se valida en el backend, para garantizar que el Markdown malicioso no se almacene en la base de datos. Estos cambios están disponibles en las versiones de lanzamiento 0.16.5 y posteriores. Se recomienda a todos los usuarios que actualicen. No hay workarounds, se requiere una actualización para obtener las nuevas funciones de validación.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/12/2025

Vulnerabilidad en Solidigm DC (CVE-2024-47967)
Fecha de publicación:
07/10/2024
Idioma:
Español
El manejo inadecuado de la inicialización de recursos en el firmware de algunos productos Solidigm DC puede permitir que un atacante habilite potencialmente la denegación de servicio.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Solidigm DC (CVE-2024-47973)
Fecha de publicación:
07/10/2024
Idioma:
Español
En algunos productos Solidigm DC, un defecto en el sobreaprovisionamiento del dispositivo puede permitir la divulgación de información a un atacante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Solidigm DC (CVE-2024-47974)
Fecha de publicación:
07/10/2024
Idioma:
Español
La condición de ejecución durante el cierre de recursos en algunos productos Solidigm DC puede permitir que un atacante habilite potencialmente la denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en PHPSpreadsheet (CVE-2024-45060)
Fecha de publicación:
07/10/2024
Idioma:
Español
PHPSpreadsheet es una librería PHP pura para leer y escribir archivos de hojas de cálculo. Uno de los scripts de muestra de PhpSpreadsheet es susceptible a una vulnerabilidad de cross-site scripting (XSS) debido a un manejo inadecuado de la entrada donde se espera un número, lo que lleva a la inyección de fórmulas. El código en `45_Quadratic_equation_solver.php` concatena los parámetros suministrados por el usuario directamente en fórmulas de hojas de cálculo. Esto permite que un atacante tome el control de la fórmula y muestre datos no saneados en la página, lo que resulta en la ejecución de JavaScript. Este problema se ha solucionado en las versiones de lanzamiento 1.29.2, 2.1.1 y 2.3.0. Se recomienda a todos los usuarios que actualicen. No existen workarounds conocidas para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/10/2024

Vulnerabilidad en PHPSpreadsheet (CVE-2024-45290)
Fecha de publicación:
07/10/2024
Idioma:
Español
PHPSpreadsheet es una librería PHP pura para leer y escribir archivos de hojas de cálculo. Un atacante puede crear un archivo XLSX que vincule archivos multimedia desde URL externas. Al abrir el archivo XLSX, PhpSpreadsheet recupera el tamaño y el tipo de imagen leyendo el contenido del archivo, si la ruta proporcionada es una URL. Al usar URL `php://filter` especialmente manipulada, un atacante puede filtrar el contenido de cualquier archivo o URL. Tenga en cuenta que esta vulnerabilidad es diferente de GHSA-w9xv-qf98-ccq4 y reside en un componente diferente. Un atacante puede acceder a cualquier archivo del servidor o filtrar información de URL arbitrarias, lo que podría exponer información confidencial, como las credenciales de AWS IAM. Este problema se ha solucionado en las versiones de lanzamiento 1.29.2, 2.1.1 y 2.3.0. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2024

Vulnerabilidad en PHPSpreadsheet (CVE-2024-45291)
Fecha de publicación:
07/10/2024
Idioma:
Español
PHPSpreadsheet es una librería PHP pura para leer y escribir archivos de hojas de cálculo. Un atacante puede construir un archivo XLSX que vincule imágenes desde rutas arbitrarias. Cuando se ha habilitado la incrustación de imágenes en el escritor HTML con `$writer->setEmbedImages(true);`, esos archivos se incluirán en la salida como URL `data:`, independientemente del tipo de archivo. También se pueden usar URL para incrustar, lo que da como resultado una vulnerabilidad de Server-Side Request Forgery. Cuando se ha habilitado la incrustación de imágenes, un atacante puede leer archivos arbitrarios en el servidor y realizar solicitudes HTTP GET arbitrarias. Tenga en cuenta que se puede utilizar cualquier contenedor de protocolo PHP, lo que significa que si, por ejemplo, se habilita el contenedor `expect://`, también es posible la ejecución remota de código. Este problema se ha solucionado en las versiones de lanzamiento 1.29.2, 2.1.1 y 2.3.0. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2024

Vulnerabilidad en Discourse (CVE-2024-45297)
Fecha de publicación:
07/10/2024
Idioma:
Español
Discourse es una plataforma de código abierto para debates comunitarios. Los usuarios pueden ver temas con una etiqueta oculta si conocen la etiqueta o el nombre de esa etiqueta. Este problema se ha corregido en la última versión estable, beta y de pruebas aprobadas de Discourse. Se recomienda a todos los usuarios que actualicen la versión. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/09/2025

Vulnerabilidad en Discourse (CVE-2024-43789)
Fecha de publicación:
07/10/2024
Idioma:
Español
Discourse es una plataforma de código abierto para debates comunitarios. Un usuario puede crear una publicación con muchas respuestas y luego intentar obtenerlas todas a la vez. Esto puede reducir potencialmente la disponibilidad de una instancia de Discourse. Este problema se ha corregido en la última versión de Discourse. Se recomienda a todos los usuarios que actualicen la versión. No existen workarounds conocidas para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/09/2025
Suscribirse a Vulnerabilidades