Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Backup and Restore WordPress de WordPress (CVE-2023-7232)
Fecha de publicación:
26/03/2024
Idioma:
Español
El complemento Backup and Restore WordPress de WordPress hasta la versión 1.45 no protege algunos archivos de registro que contienen información confidencial, como la configuración del sitio, etc., lo que permite a usuarios no autenticados acceder a dichos datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en phpMyFAQ (CVE-2024-29196)
Fecha de publicación:
26/03/2024
Idioma:
Español
phpMyFAQ es una aplicación web de preguntas frecuentes de código abierto para PHP 8.1+ y MySQL, PostgreSQL y otras bases de datos. Existe una vulnerabilidad de Path Traversal en los archivos adjuntos que permite a los atacantes con derechos de administrador cargar archivos maliciosos en otras ubicaciones de la raíz web. Esta vulnerabilidad se soluciona en 3.2.6.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/01/2025

Vulnerabilidad en Nautobot (CVE-2024-29199)
Fecha de publicación:
26/03/2024
Idioma:
Español
Nautobot es una plataforma de automatización de redes y fuente de verdad de red. Se descubrió que varios endpoints de URL de Nautobot no eran accesibles correctamente para usuarios no autenticados (anónimos). Estos endpoints no revelarán ningún dato de Nautobot a un usuario no autenticado a menos que la variable de configuración de Nautobot EXEMPT_VIEW_PERMISSIONS se cambie de su valor predeterminado (una lista vacía) para permitir el acceso a datos específicos por parte de usuarios no autenticados. Esta vulnerabilidad se solucionó en 1.6.16 y 2.1.9.
Gravedad CVSS v3.1: BAJA
Última modificación:
26/08/2025

Vulnerabilidad en Azure Cloud Services (CVE-2024-29195)
Fecha de publicación:
26/03/2024
Idioma:
Español
azure-c-shared-utility es una librería C para la comunicación AMQP/MQTT con Azure Cloud Services. El SDK de Azure IoT C puede usar esta biblioteca para la comunicación entre IoT Hub y los dispositivos IoT Hub. Un atacante puede provocar una envoltura de enteros, una asignación insuficiente o un desbordamiento de búfer de almacenamiento dinámico debido a vulnerabilidades en el mecanismo de verificación de parámetros, al explotar el parámetro de longitud del búfer en Azure C SDK, lo que puede conducir a la ejecución remota de código. Los requisitos para RCE son 1. Cuenta de Azure comprometida que permite enviar payloads con formato incorrecto al dispositivo a través del servicio IoT Hub, 2. Pasando el límite máximo de payload de mensajes del servicio IoT Hub de 128 KB, y 3. Capacidad de sobrescribir el espacio de código con código remoto. Corregido en el commit https://github.com/Azure/azure-c-shared-utility/commit/1129147c38ac02ad974c4c701a1e01b2141b9fe2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/12/2025

Vulnerabilidad en PyAnsys Geometry (CVE-2024-29189)
Fecha de publicación:
26/03/2024
Idioma:
Español
PyAnsys Geometry es una librería cliente de Python para el servicio Ansys Geometry y otros productos CAD Ansys. En el archivo src/ansys/geometry/core/connection/product_instance.py, al llamar directamente a este método _start_program, los usuarios podrían explotar su uso para realizar operaciones maliciosas en la máquina actual donde se ejecuta el script. Esta vulnerabilidad se solucionó en 0.3.3 y 0.4.12.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/12/2025

Vulnerabilidad en Check & Log Email para WordPress (CVE-2024-0866)
Fecha de publicación:
26/03/2024
Idioma:
Español
El complemento Check & Log Email para WordPress es vulnerable a la inyección de gancho no autenticado en todas las versiones hasta la 1.0.9 incluida a través de la función check_nonce. Esto hace posible que atacantes no autenticados ejecuten acciones con ganchos en WordPress bajo ciertas circunstancias. La acción que el atacante desea ejecutar debe tener una verificación de nonce, y el atacante debe conocer el nonce. Además, es un requisito la ausencia de una verificación de capacidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/03/2024

Vulnerabilidad en Themify Shortcodes para WordPress (CVE-2024-2732)
Fecha de publicación:
26/03/2024
Idioma:
Español
El complemento Themify Shortcodes para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto 'themify_post_slider' del complemento en todas las versiones hasta la 2.0.8 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/03/2025

Vulnerabilidad en SourceCodester PHP Task Management System 1.0 (CVE-2024-29301)
Fecha de publicación:
26/03/2024
Idioma:
Español
SourceCodester PHP Task Management System 1.0 es vulnerable a la inyección SQL a través de update-admin.php?admin_id=
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2025

Vulnerabilidad en SourceCodester PHP Task Management System 1.0 (CVE-2024-29302)
Fecha de publicación:
26/03/2024
Idioma:
Español
SourceCodester PHP Task Management System 1.0 es vulnerable a la inyección SQL a través de update-employee.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2025

Vulnerabilidad en SourceCodester PHP Task Management System 1.0 (CVE-2024-29303)
Fecha de publicación:
26/03/2024
Idioma:
Español
La función de eliminación de usuarios administradores de SourceCodester PHP Task Management System 1.0 es vulnerable a la inyección SQL
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/04/2025

Vulnerabilidad en Razor 0.8.0 (CVE-2024-28421)
Fecha de publicación:
25/03/2024
Idioma:
Español
Vulnerabilidad de inyección SQL en Razor 0.8.0 permite a un atacante remoto escalar privilegios a través del método ChannelModel::updateapk de channelmodle.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/09/2025

Vulnerabilidad en SEGV (CVE-2024-0901)
Fecha de publicación:
25/03/2024
Idioma:
Español
SEGV ejecutado de forma remota y lectura fuera de los límites permite que el remitente de paquetes maliciosos falle o provoque una lectura fuera de los límites mediante el envío de un paquete con formato incorrecto y con la longitud correcta.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/12/2025
Suscribirse a Vulnerabilidades