Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en mlflow/mlflow (CVE-2024-1593)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de path traversal en el repositorio mlflow/mlflow debido a un manejo inadecuado de los parámetros de URL. Al contrabandear secuencias de path traversal utilizando el ';' carácter en las URL, los atacantes pueden manipular la parte 'parámetros' de la URL para obtener acceso no autorizado a archivos o directorios. Esta vulnerabilidad permite el contrabando de datos arbitrarios en la parte 'params' de la URL, lo que permite ataques similares a los descritos en informes anteriores pero utilizando el ';' personaje para el contrabando de parámetros. La explotación exitosa podría conducir a la divulgación de información no autorizada o al compromiso del servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2025

Vulnerabilidad en mlflow/mlflow (CVE-2024-1594)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de path traversal en el repositorio mlflow/mlflow, específicamente en el manejo del parámetro `artifact_location` al crear un experimento. Los atacantes pueden aprovechar esta vulnerabilidad utilizando un componente de fragmento `#` en el URI de ubicación del artefacto para leer archivos arbitrarios en el servidor en el contexto del proceso del servidor. Este problema es similar a CVE-2023-6909 pero utiliza un componente diferente del URI para lograr el mismo efecto.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2025

Vulnerabilidad en parisneo/lollms-webui (CVE-2024-1601)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de inyección SQL en la función `delete_discussion()` de la aplicación parisneo/lollms-webui, lo que permite a un atacante eliminar todas las discusiones y datos de mensajes. La vulnerabilidad se puede explotar a través de una solicitud POST HTTP manipulada al endpoint `/delete_discussion`, que llama internamente a la función vulnerable `delete_discussion()`. Al enviar un payload especialmente manipulado en el parámetro 'id', un atacante puede manipular consultas SQL para eliminar todos los registros de las tablas 'discusión' y 'mensaje'. Este problema se debe a una neutralización inadecuada de elementos especiales utilizados en un comando SQL.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/07/2025

Vulnerabilidad en lunary-ai/lunary (CVE-2024-1626)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de referencia directa a objetos inseguros (IDOR) en el repositorio lunary-ai/lunary, versión 0.3.0, dentro del endpoint de actualización del proyecto. La vulnerabilidad permite a los usuarios autenticados modificar el nombre de cualquier proyecto dentro del sistema sin las comprobaciones de autorización adecuadas, haciendo referencia directamente al ID del proyecto en la solicitud PATCH al endpoint '/v1/projects/:projectId'. Este problema surge porque el endpoint no verifica si el ID del proyecto proporcionado pertenece al usuario actualmente autenticado, lo que permite modificaciones no autorizadas en diferentes proyectos organizacionales.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/01/2025

Vulnerabilidad en parisneo/lollms-webui (CVE-2024-1646)
Fecha de publicación:
16/04/2024
Idioma:
Español
parisneo/lollms-webui es vulnerable a la omisión de autenticación debido a una protección insuficiente en los endpoints sensibles. La aplicación verifica si el parámetro del host no es '0.0.0.0' para restringir el acceso, lo cual es inadecuado cuando la aplicación está vinculada a una interfaz específica, lo que permite el acceso no autorizado a endpoints como '/restart_program', '/update_software', '/ check_update', '/start_recording' y '/stop_recording'. Esta vulnerabilidad puede provocar denegación de servicio, desactivación o anulación no autorizada de grabaciones y potencialmente otros impactos si ciertas funciones están habilitadas en la configuración.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/08/2025

Vulnerabilidad en h2oai/h2o-3 (CVE-2024-1456)
Fecha de publicación:
16/04/2024
Idioma:
Español
Se identificó una vulnerabilidad de toma de control del depósito S3 en el repositorio h2oai/h2o-3. El problema involucra al depósito S3 'http://s3.amazonaws.com/h2o-training', que resultó ser vulnerable a adquisiciones no autorizadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/07/2025

Vulnerabilidad en mlflow/mlflow (CVE-2024-1483)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de path traversal en mlflow/mlflow versión 2.9.2, que permite a los atacantes acceder a archivos arbitrarios en el servidor. Al crear una serie de solicitudes HTTP POST con parámetros 'artifact_location' y 'source' especialmente manipulados, utilizando un URI local con '#' en lugar de '?', un atacante puede atravesar la estructura de directorios del servidor. El problema se produce debido a una validación insuficiente de la entrada proporcionada por el usuario en los controladores del servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2025

Vulnerabilidad en mlflow/mlflow (CVE-2024-1558)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de path traversal en la función `_create_model_version()` dentro de `server/handlers.py` del repositorio mlflow/mlflow, debido a una validación incorrecta del parámetro `source`. Los atacantes pueden explotar esta vulnerabilidad creando un parámetro `source` que pasa por alto las comprobaciones de la función `_validate_non_local_source_contains_relative_paths(source)`, permitiendo acceso de lectura arbitrario a archivos en el servidor. El problema surge del manejo de caracteres URL sin comillas y el posterior uso indebido del valor "fuente" original para la creación de la versión del modelo, lo que lleva a la exposición de archivos confidenciales al interactuar con el controlador "/model-versions/get-artifact".
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2025

Vulnerabilidad en mlflow/mlflow (CVE-2024-1560)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de path traversal en el repositorio mlflow/mlflow, específicamente dentro de la funcionalidad de eliminación de artefactos. Los atacantes pueden eludir la validación de rutas explotando el proceso de doble decodificación en el controlador `_delete_artifact_mlflow_artifacts` y la función `local_file_uri_to_path`, lo que permite la eliminación de directorios arbitrarios en el sistema de archivos del servidor. Esta vulnerabilidad se debe a una operación adicional entre comillas en la función `delete_artifacts` de `local_artifact_repo.py`, que no sanitiza adecuadamente las rutas proporcionadas por el usuario. El problema está presente hasta la versión 2.9.2, a pesar de los intentos de solucionar un problema similar en CVE-2023-6831.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2025

Vulnerabilidad en gradio-app/gradio (CVE-2024-1561)
Fecha de publicación:
16/04/2024
Idioma:
Español
Se descubrió un problema en gradio-app/gradio, donde el endpoint `/component_server` permite incorrectamente la invocación de cualquier método en una clase `Component` con argumentos controlados por el atacante. Específicamente, al explotar el método `move_resource_to_block_cache()` de la clase `Block`, un atacante puede copiar cualquier archivo en el sistema de archivos a un directorio temporal y posteriormente recuperarlo. Esta vulnerabilidad permite el acceso de lectura de archivos locales no autorizados, lo que representa un riesgo significativo, especialmente cuando la aplicación está expuesta a Internet a través de "launch(share=True)", lo que permite a atacantes remotos leer archivos en la máquina host. Además, las aplicaciones de gradio alojadas en `huggingface.co` también se ven afectadas, lo que podría provocar la exposición de información confidencial, como claves API y credenciales almacenadas en variables de entorno.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/07/2025

Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-0404)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de asignación masiva en el endpoint `/api/invite/:code` del repositorio mintplex-labs/anything-llm, lo que permite la creación no autorizada de cuentas con altos privilegios. Al interceptar y modificar la solicitud HTTP durante el proceso de creación de la cuenta a través de un enlace de invitación, un atacante puede agregar una propiedad "rol" con valor "admin", obteniendo así acceso administrativo. Este problema surge debido a la falta de listas de propiedades permitidas y bloqueadas, lo que permite al atacante explotar el sistema y realizar acciones como administrador.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2025

Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-0549)
Fecha de publicación:
16/04/2024
Idioma:
Español
mintplex-labs/anything-llm es vulnerable a un ataque de relative path traversal, lo que permite a atacantes no autorizados con una cuenta de rol predeterminada eliminar archivos y carpetas dentro del sistema de archivos, incluidos archivos de bases de datos críticos como 'anythingllm.db'. La vulnerabilidad se debe a una validación y normalización de entrada insuficientes en el manejo de solicitudes de eliminación de archivos y carpetas. La explotación exitosa resulta en el compromiso de la integridad y disponibilidad de los datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2025
Suscribirse a Vulnerabilidades