Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-3028)
Fecha de publicación:
16/04/2024
Idioma:
Español
mintplex-labs/anything-llm es vulnerable a una validación de entrada incorrecta, lo que permite a los atacantes leer y eliminar archivos arbitrarios en el servidor. Al manipular el parámetro 'logo_filename' en el endpoint API 'system-preferences', un atacante puede crear solicitudes para leer archivos confidenciales o el archivo '.env' de la aplicación, e incluso eliminar archivos configurando 'logo_filename' en la ruta del archivo de destino e invocando el endpoint API 'remove-logo'. Esta vulnerabilidad se debe a la falta de una sanitización adecuada de los datos proporcionados por el usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2025

Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-3029)
Fecha de publicación:
16/04/2024
Idioma:
Español
En mintplex-labs/anything-llm, un atacante puede aprovechar la validación de entrada incorrecta enviando un payload JSON con formato incorrecto al endpoint '/system/enable-multi-user'. Esto desencadena un error que es detectado por un bloque catch, que a su vez elimina a todos los usuarios y desactiva el 'multi_user_mode'. La vulnerabilidad permite a un atacante eliminar a todos los usuarios existentes y potencialmente crear un nuevo usuario administrador sin requerir una contraseña, lo que genera acceso y control no autorizados sobre la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2025

Vulnerabilidad en lunary-ai/lunary (CVE-2024-1665)
Fecha de publicación:
16/04/2024
Idioma:
Español
lunary-ai/lunary versión 1.0.0 es vulnerable a la creación de evaluaciones no autorizadas debido a que faltan verificaciones del lado del servidor para el estado de la cuenta de usuario durante la creación de la evaluación. Si bien la interfaz de usuario web restringe la creación de evaluaciones a cuentas pagas, el endpoint API del lado del servidor '/v1/evaluations' no verifica si el usuario tiene una cuenta paga, lo que permite a los usuarios con cuentas gratuitas o autohospedadas crear evaluaciones ilimitadas sin actualizar su cuenta. Esta vulnerabilidad se debe a la falta de validación del estado de la cuenta en el proceso de creación de la evaluación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/06/2024

Vulnerabilidad en lunary-ai/lunary (CVE-2024-1666)
Fecha de publicación:
16/04/2024
Idioma:
Español
En lunary-ai/lunary versión 1.0.0, existe una falla de autorización que permite la creación de radares no autorizados. La vulnerabilidad surge de la falta de comprobaciones del lado del servidor para verificar si un usuario tiene una cuenta gratuita durante el proceso de creación del radar, que sólo se aplica en la interfaz de usuario web. Como resultado, los atacantes pueden eludir el requisito de actualización de cuenta previsto enviando directamente solicitudes manipuladas al servidor, lo que permite la creación de una cantidad ilimitada de radares sin pago.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2025

Vulnerabilidad en lunary-ai/lunary (CVE-2024-1738)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de autorización incorrecta en el repositorio lunary-ai/lunary, específicamente dentro de la ruta evaluations.get en el endpoint de la API de evaluaciones. Esta vulnerabilidad permite a usuarios no autorizados recuperar los resultados de la evaluación de cualquier organización simplemente conociendo el ID de la evaluación, debido a la falta de verificación del ID del proyecto en la consulta SQL. Como resultado, los atacantes pueden obtener acceso a datos potencialmente privados contenidos en los resultados de la evaluación.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/01/2025

Vulnerabilidad en lunary-ai/lunary (CVE-2024-1739)
Fecha de publicación:
16/04/2024
Idioma:
Español
lunary-ai/lunary es vulnerable a un problema de autenticación debido a una validación incorrecta de las direcciones de correo electrónico durante el proceso de registro. Específicamente, el servidor no trata las direcciones de correo electrónico sin distinguir entre mayúsculas y minúsculas, lo que permite la creación de varias cuentas con la misma dirección de correo electrónico variando las mayúsculas y minúsculas de los caracteres del correo electrónico. Por ejemplo, se pueden crear cuentas para 'abc@gmail.com' y 'Abc@gmail.com', lo que genera una posible suplantación de identidad y confusión entre los usuarios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/06/2025

Vulnerabilidad en vertaai/modeldb (CVE-2024-1961)
Fecha de publicación:
16/04/2024
Idioma:
Español
vertaai/modeldb es vulnerable a un ataque de path traversal debido a una sanitización inadecuada de las rutas de archivos proporcionadas por el usuario en su funcionalidad de carga de archivos. Los atacantes pueden aprovechar esta vulnerabilidad para escribir archivos arbitrarios en cualquier parte del sistema de archivos manipulando el parámetro 'artifact_path'. Esta falla puede provocar la ejecución remota de código (RCE) al sobrescribir archivos críticos, como el archivo de configuración de la aplicación, especialmente cuando la aplicación se ejecuta fuera de Docker. La vulnerabilidad está presente en los componentes NFSController.java y NFSService.java de la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/04/2024

Vulnerabilidad en parisneo/lollms-webu (CVE-2024-1569)
Fecha de publicación:
16/04/2024
Idioma:
Español
parisneo/lollms-webui es vulnerable a un ataque de denegación de servicio (DoS) debido al consumo incontrolado de recursos. Los atacantes pueden explotar `/open_code_in_vs_code` y endpoints similares sin autenticación enviando solicitudes HTTP POST repetidas, lo que lleva a la apertura de Visual Studio Code o del abridor de carpeta predeterminado (por ejemplo, Explorador de archivos, xdg-open) varias veces. Esto puede inutilizar la máquina host al agotar los recursos del sistema. La vulnerabilidad está presente en la última versión del software.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2025

Vulnerabilidad en mlflow/mlflow (CVE-2024-1593)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de path traversal en el repositorio mlflow/mlflow debido a un manejo inadecuado de los parámetros de URL. Al contrabandear secuencias de path traversal utilizando el ';' carácter en las URL, los atacantes pueden manipular la parte 'parámetros' de la URL para obtener acceso no autorizado a archivos o directorios. Esta vulnerabilidad permite el contrabando de datos arbitrarios en la parte 'params' de la URL, lo que permite ataques similares a los descritos en informes anteriores pero utilizando el ';' personaje para el contrabando de parámetros. La explotación exitosa podría conducir a la divulgación de información no autorizada o al compromiso del servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2025

Vulnerabilidad en mlflow/mlflow (CVE-2024-1594)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de path traversal en el repositorio mlflow/mlflow, específicamente en el manejo del parámetro `artifact_location` al crear un experimento. Los atacantes pueden aprovechar esta vulnerabilidad utilizando un componente de fragmento `#` en el URI de ubicación del artefacto para leer archivos arbitrarios en el servidor en el contexto del proceso del servidor. Este problema es similar a CVE-2023-6909 pero utiliza un componente diferente del URI para lograr el mismo efecto.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2025

Vulnerabilidad en parisneo/lollms-webui (CVE-2024-1601)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de inyección SQL en la función `delete_discussion()` de la aplicación parisneo/lollms-webui, lo que permite a un atacante eliminar todas las discusiones y datos de mensajes. La vulnerabilidad se puede explotar a través de una solicitud POST HTTP manipulada al endpoint `/delete_discussion`, que llama internamente a la función vulnerable `delete_discussion()`. Al enviar un payload especialmente manipulado en el parámetro 'id', un atacante puede manipular consultas SQL para eliminar todos los registros de las tablas 'discusión' y 'mensaje'. Este problema se debe a una neutralización inadecuada de elementos especiales utilizados en un comando SQL.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/07/2025

Vulnerabilidad en lunary-ai/lunary (CVE-2024-1626)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de referencia directa a objetos inseguros (IDOR) en el repositorio lunary-ai/lunary, versión 0.3.0, dentro del endpoint de actualización del proyecto. La vulnerabilidad permite a los usuarios autenticados modificar el nombre de cualquier proyecto dentro del sistema sin las comprobaciones de autorización adecuadas, haciendo referencia directamente al ID del proyecto en la solicitud PATCH al endpoint '/v1/projects/:projectId'. Este problema surge porque el endpoint no verifica si el ID del proyecto proporcionado pertenece al usuario actualmente autenticado, lo que permite modificaciones no autorizadas en diferentes proyectos organizacionales.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/01/2025
Suscribirse a Vulnerabilidades