Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Symphony XTS Web Trading y Mobile Trading (CVE-2024-45586)
Fecha de publicación:
03/09/2024
Idioma:
Español
Esta vulnerabilidad existe debido a controles de acceso inadecuados en las API del módulo de autenticación de las plataformas Symphony XTS Web Trading y Mobile Trading (versión 2.0.0.1_P160). Un atacante remoto autenticado podría aprovechar esta vulnerabilidad manipulando parámetros a través de una solicitud HTTP, lo que podría provocar la apropiación no autorizada de cuentas pertenecientes a otros usuarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/09/2024

Vulnerabilidad en Symphony XTS Web Trading (CVE-2024-45587)
Fecha de publicación:
03/09/2024
Idioma:
Español
Esta vulnerabilidad existe en la plataforma Symphony XTS Web Trading versión 2.0.0.1_P160 debido a controles de acceso inadecuados en las API del módulo Transacción de la aplicación vulnerable. Un atacante remoto autenticado podría aprovechar esta vulnerabilidad manipulando parámetros a través de una solicitud HTTP, lo que podría provocar la vulneración de otras cuentas de usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/09/2024

Vulnerabilidad en UltiMaker Cura (CVE-2024-8374)
Fecha de publicación:
03/09/2024
Idioma:
Español
Las versiones 5.7.0-beta.1 a 5.7.2 del segmentador de datos UltiMaker Cura son vulnerables a la inyección de código a través del lector de formato 3MF (/plugins/ThreeMFReader.py). La vulnerabilidad surge del manejo inadecuado de la propiedad drop_to_buildplate dentro de los archivos 3MF, que son archivos ZIP que contienen los datos del modelo. Cuando se carga un archivo 3MF en Cura, el valor de la propiedad drop_to_buildplate se pasa a la función eval() de Python sin la desinfección adecuada, lo que permite que un atacante ejecute código arbitrario mediante la creación de un archivo 3MF malicioso. Esta vulnerabilidad plantea un riesgo significativo, ya que los archivos 3MF se comparten comúnmente a través de bases de datos de modelos 3D.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/09/2024

Vulnerabilidad en VMware Fusion (CVE-2024-38811)
Fecha de publicación:
03/09/2024
Idioma:
Español
VMware Fusion (13.x anterior a 13.6) contiene una vulnerabilidad de ejecución de código debido al uso de una variable de entorno insegura. Un actor malintencionado con privilegios de usuario estándar puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la aplicación Fusion.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/09/2024

Vulnerabilidad en Dell Path to PowerProtect (CVE-2024-37136)
Fecha de publicación:
03/09/2024
Idioma:
Español
Dell Path to PowerProtect, versiones 1.1 y 1.2, contiene una vulnerabilidad de exposición de información personal privada a un agente no autorizado. Un atacante remoto con privilegios elevados podría aprovechar esta vulnerabilidad, lo que provocaría la exposición de información.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2024

Vulnerabilidad en Zyxel ATP (CVE-2024-42061)
Fecha de publicación:
03/09/2024
Idioma:
Español
Una vulnerabilidad de Cross-site Scripting (XSS) reflejado en el programa CGI "dynamic_script.cgi" de las versiones de firmware de la serie Zyxel ATP desde la V4.32 hasta la V5.38, las versiones de firmware de la serie USG FLEX desde la V4.50 hasta la V5.38, las versiones de firmware de la serie USG FLEX 50(W) desde la V4.16 hasta la V5.38 y las versiones de firmware de la serie USG20(W)-VPN desde la V4.16 hasta la V5.38 podría permitir a un atacante engañar a un usuario para que visite una URL manipulada con el payload XSS. El atacante podría obtener información basada en el navegador si el script malicioso se ejecuta en el navegador de la víctima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2024

Vulnerabilidad en Zyxel NWA1123ACv3 (CVE-2024-7261)
Fecha de publicación:
03/09/2024
Idioma:
Español
La neutralización incorrecta de elementos especiales en el parámetro "host" en el programa CGI de la versión de firmware 6.70(ABVT.4) y anteriores de Zyxel NWA1123ACv3, la versión de firmware 6.70(ABVS.4) y anteriores de WAC500, la versión de firmware 7.00(ACDO.1) y anteriores de WAX655E, la versión de firmware 7.00(ACLE.1) y anteriores de WBE530, y la versión de firmware V2.00(ACIP.2) de USG LITE 60AX podría permitir que un atacante no autenticado ejecute comandos del sistema operativo enviando una cookie manipulada a un dispositivo vulnerable.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/09/2024

Vulnerabilidad en Zyxel ATP (CVE-2024-6343)
Fecha de publicación:
03/09/2024
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en el programa CGI de las versiones de firmware de la serie Zyxel ATP de V4.32 a V5.38, las versiones de firmware de la serie USG FLEX de V4.50 a V5.38, las versiones de firmware de la serie USG FLEX 50(W) de V4.16 a V5.38 y las versiones de firmware de la serie USG20(W)-VPN de V4.16 a V5.38 podría permitir que un atacante autenticado con privilegios de administrador provoque condiciones de denegación de servicio (DoS) al enviar una solicitud HTTP manipulada a un dispositivo vulnerable.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2024

Vulnerabilidad en Zyxel ATP (CVE-2024-7203)
Fecha de publicación:
03/09/2024
Idioma:
Español
Una vulnerabilidad de inyección de comandos posterior a la autenticación en las versiones de firmware de la serie Zyxel ATP de V4.60 a V5.38 y en las versiones de firmware de la serie USG FLEX de V4.60 a V5.38 podría permitir que un atacante autenticado con privilegios de administrador ejecute algunos comandos del sistema operativo (OS) en un dispositivo afectado mediante la ejecución de un comando CLI manipulado específicamente.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2024

Vulnerabilidad en Zyxel VMG8825-T50K (CVE-2024-5412)
Fecha de publicación:
03/09/2024
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en la librería "libclinkc" de la versión de firmware 5.50(ABOM.8)C0 del Zyxel VMG8825-T50K podría permitir que un atacante no autenticado provoque condiciones de denegación de servicio (DoS) al enviar una solicitud HTTP manipulada a un dispositivo vulnerable.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2026

Vulnerabilidad en Zyxel ATP (CVE-2024-42057)
Fecha de publicación:
03/09/2024
Idioma:
Español
Una vulnerabilidad de inyección de comandos en la función IPSec VPN de las versiones de firmware de la serie Zyxel ATP desde la V4.32 hasta la V5.38, las versiones de firmware de la serie USG FLEX desde la V4.50 hasta la V5.38, las versiones de firmware de la serie USG FLEX 50(W) desde la V4.16 hasta la V5.38 y las versiones de firmware de la serie USG20(W)-VPN desde la V4.16 hasta la V5.38 podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo en un dispositivo afectado mediante el envío de un nombre de usuario manipulado al dispositivo vulnerable. Tenga en cuenta que este ataque podría tener éxito solo si el dispositivo se configuró en modo de autenticación User-Based-PSK y existe un usuario válido con un nombre de usuario largo que supere los 28 caracteres.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2024

Vulnerabilidad en Zyxel ATP (CVE-2024-42058)
Fecha de publicación:
03/09/2024
Idioma:
Español
Una vulnerabilidad de desreferencia de puntero nulo en las versiones de firmware de la serie Zyxel ATP de V4.32 a V5.38, las versiones de firmware de la serie USG FLEX de V4.50 a V5.38, las versiones de firmware de la serie USG FLEX 50(W) de V5.20 a V5.38 y las versiones de firmware de la serie USG20(W)-VPN de V5.20 a V5.38 podría permitir que un atacante no autenticado provoque condiciones de denegación de servicio (DoS) mediante el envío de paquetes manipulados a un dispositivo vulnerable.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2024
Suscribirse a Vulnerabilidades