Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Kimai (CVE-2024-29200)
Fecha de publicación:
28/03/2024
Idioma:
Español
Kimai es una aplicación de seguimiento del tiempo multiusuario basada en web. El permiso `view_other_timesheet` funciona de manera diferente para la interfaz de usuario de Kimai y la API, por lo que devuelve datos inesperados a través de la API. Al configurar el permiso `view_other_timesheet` en verdadero, en la interfaz, los usuarios solo pueden ver las entradas de la hoja de horas de los equipos de los que forman parte. Sin embargo, al solicitar todas las hojas de horas de la API, se devuelven todas las entradas de las hojas de horas, independientemente de si el usuario comparte permisos de equipo o no. Esta vulnerabilidad se solucionó en 2.13.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/10/2025

Vulnerabilidad en CreateWiki (CVE-2024-29897)
Fecha de publicación:
28/03/2024
Idioma:
Español
CreateWiki es la extensión MediaWiki de Miraheze para solicitar y crear wikis. Es posible que los usuarios con (delete) o (suppressrevision) en cualquier wiki de la granja accedan a solicitudes de wiki suprimidas yendo a la entrada de la solicitud en Special:RequestWikiQueue en el wiki donde tienen estos derechos. La misma vulnerabilidad estuvo presente brevemente en la API REST antes de ser corregida rápidamente en el commit `6bc0685`. Hasta donde sabemos, las confirmaciones vulnerables de la API REST no se están ejecutando en producción en ningún lugar. Esta vulnerabilidad se soluciona en 23415c17ffb4832667c06abcf1eadaefd4c8937.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2024

Vulnerabilidad en Tenda FH1202 v1.2.0.14(408) (CVE-2024-30583)
Fecha de publicación:
28/03/2024
Idioma:
Español
Tenda FH1202 v1.2.0.14(408) tiene una vulnerabilidad de desbordamiento de la región stack de la memoria en el parámetro mitInterface de la función fromAddressNat.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/03/2025

Vulnerabilidad en CreateWiki (CVE-2024-29898)
Fecha de publicación:
28/03/2024
Idioma:
Español
CreateWiki es la extensión MediaWiki de Miraheze para solicitar y crear wikis. Un descuido durante la redacción del parche para CVE-2024-29897 puede haber expuesto solicitudes de wiki suprimidas a wikis privados que agregaron Special:RequestWikiQueue a la lista blanca de lectura para usuarios sin el permiso "(lectura)". Esta vulnerabilidad se soluciona en 8f8442ed5299510ea3e58416004b9334134c149c.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2026

Vulnerabilidad en SRS (CVE-2024-29882)
Fecha de publicación:
28/03/2024
Idioma:
Español
SRS es un servidor de vídeo en tiempo real, sencillo y de alta eficiencia. El endpoint `/api/v1/vhosts/vid-?callback=` de SRS no filtró el nombre de la función de devolución de llamada, lo que llevó a inyectar payloads de JavaScript maliciosos y ejecutar XSS (Cross-Site Scripting). Esta vulnerabilidad se solucionó en 5.0.210 y 6.0.121.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2026

Vulnerabilidad en veraPDF-library (CVE-2024-28109)
Fecha de publicación:
28/03/2024
Idioma:
Español
veraPDF-library es una librería de validación de PDF/A. La ejecución de comprobaciones de políticas utilizando archivos de esquema personalizados invoca una transformación XSL que podría provocar una vulnerabilidad de ejecución remota de código (RCE). Esta vulnerabilidad se solucionó en 1.24.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/03/2024

Vulnerabilidad en TP-Link TP-Link EX20v AX1800, Tp-Link Archer C5v AC1200, Tp-Link TD-W9970, Tp-Link TD-W9970v3, TP -Link VX220-G2u, TP-Link VN020-G2u (CVE-2023-6437)
Fecha de publicación:
28/03/2024
Idioma:
Español
Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo ('inyección de comando del sistema operativo') en TP-Link TP-Link EX20v AX1800, Tp-Link Archer C5v AC1200, Tp-Link TD-W9970, Tp-Link TD-W9970v3, TP -Link VX220-G2u, TP-Link VN020-G2u permite la inyección de comandos del sistema operativo autenticado. Este problema afecta a TP-Link EX20v AX1800, Tp-Link Archer C5v AC1200, Tp-Link TD-W9970, Tp-Link TD-W9970v3: hasta 20240328 Además, la vulnerabilidad continúa en los modelos TP-Link VX220-G2u y TP-Link VN020-G2u debido a que los productos no se fabrican ni reciben soporte.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/03/2024

Vulnerabilidad en Tenda FH1202 v1.2.0.14(408) (CVE-2024-30594)
Fecha de publicación:
28/03/2024
Idioma:
Español
Tenda FH1202 v1.2.0.14(408) tiene una vulnerabilidad de desbordamiento de la región stack de la memoria en el parámetro deviceMac de la función addWifiMacFilter.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/03/2025

Vulnerabilidad en Tenda FH1202 v1.2.0.14(408) (CVE-2024-30596)
Fecha de publicación:
28/03/2024
Idioma:
Español
Tenda FH1202 v1.2.0.14(408) tiene una vulnerabilidad de desbordamiento de la región stack de la memoria en el parámetro deviceId de la función formSetDeviceName.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/03/2025

Vulnerabilidad en SysAid (CVE-2024-27775)
Fecha de publicación:
28/03/2024
Idioma:
Español
SysAid anterior a la versión 23.2.14 b18 - CWE-918: Server-Side Request Forgery (SSRF) puede permitir exponer el hash NTLMv2 del usuario del sistema operativo local
Gravedad CVSS v3.1: ALTA
Última modificación:
28/03/2024

Vulnerabilidad en Astro-Shield (CVE-2024-29896)
Fecha de publicación:
28/03/2024
Idioma:
Español
Astro-Shield es una librería para calcular los hashes de integridad de los subrecursos para sus scripts JS y hojas de estilo CSS. Cuando la generación automatizada de encabezados CSP para contenido SSR está habilitada y la aplicación web ofrece contenido que puede ser controlado parcialmente por usuarios externos, entonces es posible que la función de generación de encabezados CSP pueda "listar permitidos" recursos maliciosos inyectados como JS en línea o referencias a scripts maliciosos externos. La solución está disponible en la versión 1.3.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/09/2025

Vulnerabilidad en Tenda FH1202 v1.2.0.14(408) (CVE-2024-30593)
Fecha de publicación:
28/03/2024
Idioma:
Español
Tenda FH1202 v1.2.0.14(408) tiene una vulnerabilidad de desbordamiento de la región stack de la memoria ubicada en el parámetro deviceName de la función formSetDeviceName.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/03/2025
Suscribirse a Vulnerabilidades