Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Share This Image para WordPress (CVE-2024-8363)
Fecha de publicación:
05/09/2024
Idioma:
Español
El complemento Share This Image para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código abreviado STI Buttons del complemento en todas las versiones hasta la 2.02 incluida, debido a una desinfección de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2024

Vulnerabilidad en Form Vibes – Database Manager for Forms para WordPress (CVE-2024-5309)
Fecha de publicación:
05/09/2024
Idioma:
Español
El complemento Form Vibes – Database Manager for Forms para WordPress es vulnerable al acceso no autorizado a los datos y a la modificación de los mismos debido a una comprobación de capacidad faltante en las funciones fv_export_csv, reset_settings, save_settings, save_columns_settings, get_analytics_data, get_event_logs_data, delete_submissions y get_submissions en todas las versiones hasta la 1.4.12 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, realicen múltiples acciones no autorizadas. NOTA: Esta vulnerabilidad está parcialmente corregida en la versión 1.4.12.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2026

Vulnerabilidad en Acrobat Reader (CVE-2024-45107)
Fecha de publicación:
05/09/2024
Idioma:
Español
Las versiones 20.005.30636, 24.002.20964, 24.001.30123, 24.002.20991 y anteriores de Acrobat Reader se ven afectadas por una vulnerabilidad de tipo Use After Free que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2024

Vulnerabilidad en Ivory Search – WordPress Search Plugin para WordPress (CVE-2024-6835)
Fecha de publicación:
05/09/2024
Idioma:
Español
El complemento Ivory Search – WordPress Search Plugin para WordPress es vulnerable a la exposición de información en todas las versiones hasta la 5.5.6 incluida a través de la función ajax_load_posts. Esto permite que atacantes no autenticados extraigan datos de texto de publicaciones protegidas con contraseña mediante el ataque basado en booleanos en el formulario de búsqueda AJAX.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2024

Vulnerabilidad en ChatGPT de WordPress (CVE-2024-6846)
Fecha de publicación:
05/09/2024
Idioma:
Español
El Chatbot con el complemento ChatGPT de WordPress anterior a la versión 2.4.5 no valida el acceso en algunas rutas REST, lo que permite que un usuario no autenticado elimine los registros de errores y chats.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/05/2025

Vulnerabilidad en bhyve (CVE-2024-32668)
Fecha de publicación:
05/09/2024
Idioma:
Español
Una validación de los límites insuficiente en el código USB podría provocar una escritura fuera de los límites en el montón, con datos controlados por el autor de la llamada. Un software malicioso y privilegiado que se ejecute en una máquina virtual invitada puede aprovechar la vulnerabilidad para lograr la ejecución de código en el host en el proceso de espacio de usuario bhyve, que normalmente se ejecuta como raíz. Tenga en cuenta que bhyve se ejecuta en un entorno aislado de Capsicum, por lo que el código malicioso está limitado por las capacidades disponibles para el proceso bhyve.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/09/2024

Vulnerabilidad en subsolicitud UMTX_SHM_DESTROY de UMTX_OP_SHM (CVE-2024-43102)
Fecha de publicación:
05/09/2024
Idioma:
Español
Las eliminaciones simultáneas de ciertas asignaciones de memoria compartida anónimas mediante la subsolicitud UMTX_SHM_DESTROY de UMTX_OP_SHM pueden provocar que se reduzca el recuento de referencias del objeto que representa la asignación demasiadas veces, lo que hace que se libere demasiado pronto. Un código malicioso que ejecute la subsolicitud UMTX_SHM_DESTROY en paralelo puede provocar un pánico en el núcleo o permitir más ataques de use-after-free, que podrían incluir la ejecución de código o el escape de la zona protegida de Capsicum.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/09/2024

Vulnerabilidad en ctl_report_supported_opcodes (CVE-2024-42416)
Fecha de publicación:
05/09/2024
Idioma:
Español
La función ctl_report_supported_opcodes no validó de manera suficiente un campo proporcionado por el espacio de usuario, lo que permitió una escritura arbitraria en una cantidad limitada de memoria de ayuda del núcleo. El software malintencionado que se ejecuta en una máquina virtual invitada que expone virtio_scsi puede explotar las vulnerabilidades para lograr la ejecución de código en el host en el proceso de espacio de usuario bhyve, que normalmente se ejecuta como raíz. Tenga en cuenta que bhyve se ejecuta en un entorno aislado de Capsicum, por lo que el código malintencionado está limitado por las capacidades disponibles para el proceso bhyve. Un iniciador iSCSI malintencionado podría lograr la ejecución remota de código en el host de destino iSCSI.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en ctl_request_sense (CVE-2024-43110)
Fecha de publicación:
05/09/2024
Idioma:
Español
La función ctl_request_sense podría exponer hasta tres bytes del montón del núcleo al espacio de usuario. El software malintencionado que se ejecuta en una máquina virtual invitada que expone virtio_scsi puede explotar las vulnerabilidades para lograr la ejecución de código en el host en el proceso de espacio de usuario bhyve, que normalmente se ejecuta como raíz. Tenga en cuenta que bhyve se ejecuta en un entorno aislado de Capsicum, por lo que el código malintencionado está limitado por las capacidades disponibles para el proceso bhyve. Un iniciador iSCSI malintencionado podría lograr la ejecución remota de código en el host de destino iSCSI.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en ctl_write_buffer (CVE-2024-45063)
Fecha de publicación:
05/09/2024
Idioma:
Español
La función ctl_write_buffer estableció incorrectamente un indicador que resultó en un uso posterior a la liberación del núcleo cuando finalizó el procesamiento de un comando. El software malintencionado que se ejecuta en una máquina virtual invitada que expone virtio_scsi puede explotar las vulnerabilidades para lograr la ejecución de código en el host en el proceso de espacio de usuario bhyve, que normalmente se ejecuta como raíz. Tenga en cuenta que bhyve se ejecuta en un entorno aislado de Capsicum, por lo que el código malintencionado está limitado por las capacidades disponibles para el proceso bhyve. Un iniciador iSCSI malintencionado podría lograr la ejecución remota de código en el host de destino iSCSI.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en ctl_write_buffer y ctl_read_buffer (CVE-2024-8178)
Fecha de publicación:
05/09/2024
Idioma:
Español
Las funciones ctl_write_buffer y ctl_read_buffer asignaron memoria para ser devuelta al espacio de usuario, sin inicializarla. El software malintencionado que se ejecuta en una máquina virtual invitada que expone virtio_scsi puede explotar las vulnerabilidades para lograr la ejecución de código en el host en el proceso de espacio de usuario bhyve, que normalmente se ejecuta como raíz. Tenga en cuenta que bhyve se ejecuta en un entorno aislado de Capsicum, por lo que el código malintencionado está limitado por las capacidades disponibles para el proceso bhyve. Un iniciador iSCSI malintencionado podría lograr la ejecución remota de código en el host de destino iSCSI.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en libnv (CVE-2024-45287)
Fecha de publicación:
05/09/2024
Idioma:
Español
Un valor malicioso de tamaño en una estructura de libnv empaquetada puede provocar un desbordamiento de enteros, lo que lleva a la asignación de un búfer más pequeño que el requerido para los datos analizados.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/09/2024
Suscribirse a Vulnerabilidades