Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Mattermost (CVE-2024-42406)
Fecha de publicación:
26/09/2024
Idioma:
Español
Las versiones 9.11.x <= 9.11.0, 9.10.x <= 9.10.1, 9.9.x <= 9.9.2 y 9.5.x <= 9.5.8 de Mattermost no autorizan correctamente las solicitudes cuando la visualización de canales archivados está deshabilitada, lo que permite a un atacante recuperar información de publicaciones y archivos sobre canales archivados. Algunos ejemplos son las publicaciones marcadas o no leídas, así como los archivos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2024

Vulnerabilidad en GitLab EE (CVE-2024-4278)
Fecha de publicación:
26/09/2024
Idioma:
Español
Se ha descubierto un problema de divulgación de información en GitLab EE que afecta a todas las versiones a partir de la 16.5 anterior a la 17.2.8, de la 17.3 anterior a la 17.3.4 y de la 17.4 anterior a la 17.4.1. Un mantenedor podría obtener una contraseña de proxy de dependencia editando una determinada configuración de proxy de dependencia.
Gravedad CVSS v3.1: BAJA
Última modificación:
08/10/2024

Vulnerabilidad en NVIDIA Container Toolkit 1.16.1 (CVE-2024-0133)
Fecha de publicación:
26/09/2024
Idioma:
Español
NVIDIA Container Toolkit 1.16.1 o versiones anteriores contienen una vulnerabilidad en el modo de funcionamiento predeterminado que permite que una imagen de contenedor especialmente manipulada cree archivos vacíos en el sistema de archivos del host. Esto no afecta a los casos de uso en los que se utiliza CDI. Una explotación exitosa de esta vulnerabilidad puede provocar la manipulación de datos.
Gravedad CVSS v3.1: BAJA
Última modificación:
02/10/2024

Vulnerabilidad en Contact Form 7 Math Captcha de WordPress (CVE-2024-6517)
Fecha de publicación:
26/09/2024
Idioma:
Español
El complemento Contact Form 7 Math Captcha de WordPress hasta la versión 2.0.1 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con altos privilegios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2025

Vulnerabilidad en NVIDIA Container Toolkit 1.16.1 (CVE-2024-0132)
Fecha de publicación:
26/09/2024
Idioma:
Español
NVIDIA Container Toolkit 1.16.1 o versiones anteriores contienen una vulnerabilidad de tipo TOCTOU (Time-of-check Time-of-Use) cuando se utiliza con la configuración predeterminada, en la que una imagen de contenedor manipulada específicamente puede obtener acceso al sistema de archivos del host. Esto no afecta a los casos de uso en los que se utiliza CDI. Una explotación exitosa de esta vulnerabilidad puede provocar la ejecución de código, la denegación de servicio, la escalada de privilegios, la divulgación de información y la manipulación de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/10/2024

Vulnerabilidad en MZK-DP300N (CVE-2024-45372)
Fecha de publicación:
26/09/2024
Idioma:
Español
Las versiones de firmware 1.04 y anteriores del MZK-DP300N contienen una vulnerabilidad de cross-site request forgery. Al visualizar una página maliciosa mientras se inicia sesión en la página de administración web del producto afectado, el usuario puede realizar operaciones no deseadas, como cambiar la contraseña de inicio de sesión, etc.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2025

Vulnerabilidad en PLANEX COMMUNICATIONS (CVE-2024-45836)
Fecha de publicación:
26/09/2024
Idioma:
Español
Existe una vulnerabilidad de Cross Site Scripting en la página de administración web de las cámaras de red PLANEX COMMUNICATIONS. Si un usuario conectado accede a un archivo específico, se puede ejecutar una secuencia de comandos arbitraria en el navegador web del usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2025

Vulnerabilidad en Jupiter X Core para WordPress (CVE-2024-7772)
Fecha de publicación:
26/09/2024
Idioma:
Español
El complemento Jupiter X Core para WordPress es vulnerable a la carga de archivos arbitrarios debido a una validación de tipo de archivo mal gestionada en la función "validar" en todas las versiones hasta la 4.6.5 incluida. Esto hace posible que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/10/2024

Vulnerabilidad en Jupiter X Core para WordPress (CVE-2024-7781)
Fecha de publicación:
26/09/2024
Idioma:
Español
El complemento Jupiter X Core para WordPress es vulnerable a la omisión de la autenticación en todas las versiones hasta la 4.7.5 incluida. Esto se debe a una autenticación incorrecta a través del widget de inicio de sesión social. Esto permite que atacantes no autenticados inicien sesión como el primer usuario que haya iniciado sesión con una cuenta de red social, incluidas las cuentas de administrador. Los atacantes pueden explotar la vulnerabilidad incluso si el elemento de inicio de sesión social se ha deshabilitado, siempre que se haya habilitado y utilizado previamente. La vulnerabilidad se solucionó parcialmente en la versión 4.7.5 y completamente en la versión 4.7.8.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/10/2024

Vulnerabilidad en e-Tax software (CVE-2024-47045)
Fecha de publicación:
26/09/2024
Idioma:
Español
Existe un problema de encadenamiento de privilegios en el instalador del software e-Tax (programa común). Si se explota esta vulnerabilidad, una DLL maliciosa preparada por un atacante puede ejecutarse con privilegios superiores a los de la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en Synology Active Backup for Business Agent (CVE-2023-52947)
Fecha de publicación:
26/09/2024
Idioma:
Español
La vulnerabilidad de falta de autenticación para funciones críticas en la funcionalidad de cierre de sesión en Synology Active Backup for Business Agent anterior a la versión 2.6.3-3101 permite que los usuarios locales cierren la sesión del cliente a través de vectores no especificados. La funcionalidad de copia de seguridad seguirá funcionando y no se verá afectada por el cierre de sesión.
Gravedad CVSS v3.1: BAJA
Última modificación:
02/10/2024

Vulnerabilidad en Synology Active Backup for Business Agent (CVE-2023-52948)
Fecha de publicación:
26/09/2024
Idioma:
Español
La vulnerabilidad de falta de cifrado de datos confidenciales en la funcionalidad de configuración en Synology Active Backup for Business Agent anterior a 2.7.0-3221 permite que los usuarios locales obtengan credenciales de usuario a través de vectores no especificados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/10/2024
Suscribirse a Vulnerabilidades