Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Electrolink FM/DAB/TV Transmitter (CVE-2024-22186)
Fecha de publicación:
18/04/2024
Idioma:
Español
La aplicación sufre una vulnerabilidad de escalada de privilegios. Un atacante que haya iniciado sesión como invitado puede aumentar sus privilegios envenenando la cookie para convertirse en administrador.
Gravedad CVSS v4.0: ALTA
Última modificación:
21/11/2024

Vulnerabilidad en Electrolink (CVE-2024-3742)
Fecha de publicación:
18/04/2024
Idioma:
Español
Los transmisores Electrolink almacenan las credenciales en texto claro. El uso de estas credenciales podría permitir que un atacante acceda al sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/05/2024

Vulnerabilidad en MPFS (CVE-2024-1491)
Fecha de publicación:
18/04/2024
Idioma:
Español
Los dispositivos permiten el acceso a un punto final desprotegido que permite la carga de imágenes binarias del sistema de archivos MPFS sin autenticación. El módulo de sistema de archivos MPFS2 proporciona un sistema de archivos liviano de solo lectura que se puede almacenar en una EEPROM externa, una memoria flash serial externa o una memoria flash interna de programa. Este sistema de archivos sirve como base para el módulo de servidor web HTTP2, pero también lo utiliza el módulo SNMP y está disponible para otras aplicaciones que requieren capacidades básicas de almacenamiento de solo lectura. Esto puede aprovecharse para sobrescribir la memoria flash del programa que contiene las interfaces principales del servidor web y ejecutar código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/05/2024

Vulnerabilidad en Electrolink FM/DAB/TV Transmitter (CVE-2024-21846)
Fecha de publicación:
18/04/2024
Idioma:
Español
Un atacante no autenticado puede restablecer la placa y detener las operaciones del transmisor enviando una solicitud GET especialmente manipulada a la puerta de enlace command.cgi, lo que resulta en un escenario de denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en Moby (CVE-2024-32473)
Fecha de publicación:
18/04/2024
Idioma:
Español
Moby es un framework de contenedores de código abierto que es un componente clave de Docker Engine, Docker Desktop y otras distribuciones de herramientas o tiempos de ejecución de contenedores. En 26.0.0, IPv6 no está deshabilitado en las interfaces de red, incluidas aquellas que pertenecen a redes donde `--ipv6=false`. Un contenedor con una interfaz `ipvlan` o `macvlan` normalmente se configurará para compartir un enlace de red externo con la máquina host. Debido a este acceso directo, (1) los contenedores pueden comunicarse con otros hosts en la red local a través de direcciones IPv6 de enlace local, (2) si los anuncios del enrutador se transmiten a través de la red local, los contenedores pueden obtener direcciones asignadas por SLAAC y (3) la interfaz será miembro de grupos de multidifusión IPv6. Esto significa que las interfaces en redes solo IPv4 presentan una superficie de ataque inesperada e innecesariamente mayor. El problema se solucionó en 26.0.2. Para deshabilitar completamente IPv6 en un contenedor, use `--sysctl=net.ipv6.conf.all.disable_ipv6=1` en el comando `docker create` o `docker run`. O, en la configuración del servicio de un archivo "compose".
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/09/2025

Vulnerabilidad en Electrolink (CVE-2024-3741)
Fecha de publicación:
18/04/2024
Idioma:
Español
Los transmisores Electrolink son afectados una vulnerabilidad de omisión de autenticación que afecta la cookie de inicio de sesión. Un atacante puede establecer un valor arbitrario excepto 'NO' para la cookie de inicio de sesión y tener acceso completo al sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/05/2024

Vulnerabilidad en DerbyNet v9.0 (CVE-2024-30924)
Fecha de publicación:
18/04/2024
Idioma:
Español
La vulnerabilidad de Cross Site Scripting en DerbyNet v9.0 y versiones anteriores permite a los atacantes ejecutar código arbitrario a través del componente checkin.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en DerbyNet v9.0 (CVE-2024-30925)
Fecha de publicación:
18/04/2024
Idioma:
Español
La vulnerabilidad de Cross Site Scripting en DerbyNet v9.0 y versiones anteriores permite a los atacantes ejecutar código arbitrario a través del componente photo-thumbs.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en DerbyNet v9.0 (CVE-2024-30926)
Fecha de publicación:
18/04/2024
Idioma:
Español
La vulnerabilidad de Cross Site Scripting en DerbyNet v9.0 y versiones anteriores permite a los atacantes ejecutar código arbitrario a través del componente ./inc/kiosks.inc.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en DerbyNet v9.0 (CVE-2024-30927)
Fecha de publicación:
18/04/2024
Idioma:
Español
La vulnerabilidad de Cross Site Scripting en DerbyNet v9.0 y versiones anteriores permite a los atacantes ejecutar código arbitrario a través del componente racer-results.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2025

Vulnerabilidad en DerbyNet v9.0 (CVE-2024-30928)
Fecha de publicación:
18/04/2024
Idioma:
Español
La vulnerabilidad de inyección SQL en DerbyNet v9.0 y versiones anteriores permite a los atacantes ejecutar comandos SQL arbitrarios a través del parámetro 'classids' en ajax/query.slide.next.inc
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en DerbyNet v9.0 (CVE-2024-30929)
Fecha de publicación:
18/04/2024
Idioma:
Español
La vulnerabilidad de Cross Site Scripting en DerbyNet v9.0 y versiones anteriores permite a los atacantes ejecutar código arbitrario a través del parámetro "atrás" en playlist.php
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025
Suscribirse a Vulnerabilidades