Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Nautobot (CVE-2024-29199)
Fecha de publicación:
26/03/2024
Idioma:
Español
Nautobot es una plataforma de automatización de redes y fuente de verdad de red. Se descubrió que varios endpoints de URL de Nautobot no eran accesibles correctamente para usuarios no autenticados (anónimos). Estos endpoints no revelarán ningún dato de Nautobot a un usuario no autenticado a menos que la variable de configuración de Nautobot EXEMPT_VIEW_PERMISSIONS se cambie de su valor predeterminado (una lista vacía) para permitir el acceso a datos específicos por parte de usuarios no autenticados. Esta vulnerabilidad se solucionó en 1.6.16 y 2.1.9.
Gravedad CVSS v3.1: BAJA
Última modificación:
26/08/2025

Vulnerabilidad en Azure Cloud Services (CVE-2024-29195)
Fecha de publicación:
26/03/2024
Idioma:
Español
azure-c-shared-utility es una librería C para la comunicación AMQP/MQTT con Azure Cloud Services. El SDK de Azure IoT C puede usar esta biblioteca para la comunicación entre IoT Hub y los dispositivos IoT Hub. Un atacante puede provocar una envoltura de enteros, una asignación insuficiente o un desbordamiento de búfer de almacenamiento dinámico debido a vulnerabilidades en el mecanismo de verificación de parámetros, al explotar el parámetro de longitud del búfer en Azure C SDK, lo que puede conducir a la ejecución remota de código. Los requisitos para RCE son 1. Cuenta de Azure comprometida que permite enviar payloads con formato incorrecto al dispositivo a través del servicio IoT Hub, 2. Pasando el límite máximo de payload de mensajes del servicio IoT Hub de 128 KB, y 3. Capacidad de sobrescribir el espacio de código con código remoto. Corregido en el commit https://github.com/Azure/azure-c-shared-utility/commit/1129147c38ac02ad974c4c701a1e01b2141b9fe2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/12/2025

Vulnerabilidad en PyAnsys Geometry (CVE-2024-29189)
Fecha de publicación:
26/03/2024
Idioma:
Español
PyAnsys Geometry es una librería cliente de Python para el servicio Ansys Geometry y otros productos CAD Ansys. En el archivo src/ansys/geometry/core/connection/product_instance.py, al llamar directamente a este método _start_program, los usuarios podrían explotar su uso para realizar operaciones maliciosas en la máquina actual donde se ejecuta el script. Esta vulnerabilidad se solucionó en 0.3.3 y 0.4.12.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/12/2025

Vulnerabilidad en Check & Log Email para WordPress (CVE-2024-0866)
Fecha de publicación:
26/03/2024
Idioma:
Español
El complemento Check & Log Email para WordPress es vulnerable a la inyección de gancho no autenticado en todas las versiones hasta la 1.0.9 incluida a través de la función check_nonce. Esto hace posible que atacantes no autenticados ejecuten acciones con ganchos en WordPress bajo ciertas circunstancias. La acción que el atacante desea ejecutar debe tener una verificación de nonce, y el atacante debe conocer el nonce. Además, es un requisito la ausencia de una verificación de capacidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2024

Vulnerabilidad en Themify Shortcodes para WordPress (CVE-2024-2732)
Fecha de publicación:
26/03/2024
Idioma:
Español
El complemento Themify Shortcodes para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto 'themify_post_slider' del complemento en todas las versiones hasta la 2.0.8 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2025

Vulnerabilidad en SourceCodester PHP Task Management System 1.0 (CVE-2024-29301)
Fecha de publicación:
26/03/2024
Idioma:
Español
SourceCodester PHP Task Management System 1.0 es vulnerable a la inyección SQL a través de update-admin.php?admin_id=
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2025

Vulnerabilidad en SourceCodester PHP Task Management System 1.0 (CVE-2024-29302)
Fecha de publicación:
26/03/2024
Idioma:
Español
SourceCodester PHP Task Management System 1.0 es vulnerable a la inyección SQL a través de update-employee.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2025

Vulnerabilidad en SourceCodester PHP Task Management System 1.0 (CVE-2024-29303)
Fecha de publicación:
26/03/2024
Idioma:
Español
La función de eliminación de usuarios administradores de SourceCodester PHP Task Management System 1.0 es vulnerable a la inyección SQL
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/04/2025

Vulnerabilidad en Razor 0.8.0 (CVE-2024-28421)
Fecha de publicación:
25/03/2024
Idioma:
Español
Vulnerabilidad de inyección SQL en Razor 0.8.0 permite a un atacante remoto escalar privilegios a través del método ChannelModel::updateapk de channelmodle.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/09/2025

Vulnerabilidad en SEGV (CVE-2024-0901)
Fecha de publicación:
25/03/2024
Idioma:
Español
SEGV ejecutado de forma remota y lectura fuera de los límites permite que el remitente de paquetes maliciosos falle o provoque una lectura fuera de los límites mediante el envío de un paquete con formato incorrecto y con la longitud correcta.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/12/2025

Vulnerabilidad en ReadyMedia (CVE-2023-47430)
Fecha de publicación:
25/03/2024
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer en la región stack de la memoria en ReadyMedia (MiniDLNA) v1.3.3 permite a atacantes provocar una denegación de servicio mediante la función SendContainer() en tivo_commands.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/09/2025

Vulnerabilidad en Content Manager (CVE-2024-1973)
Fecha de publicación:
25/03/2024
Idioma:
Español
Al aprovechar la vulnerabilidad, los usuarios con menos privilegios de Content Manager pueden manipular los clientes de Content Manager para elevar sus privilegios y realizar operaciones no autorizadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2024
Suscribirse a Vulnerabilidades