Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en huntr.dev (CVE-2024-3121)
Fecha de publicación:
24/06/2024
Idioma:
Español
Existe una vulnerabilidad de ejecución remota de código en la función create_conda_env del repositorio parisneo/lollms, versión 5.9.0. La vulnerabilidad surge del uso de shell=True en la función subprocess.Popen, que permite a un atacante inyectar comandos arbitrarios manipulando los parámetros env_name y python_version. Este problema podría provocar una grave violación de la seguridad, como lo demuestra la capacidad de ejecutar el comando "whoami" entre otros comandos potencialmente dañinos.
Gravedad CVSS v3.1: BAJA
Última modificación:
13/09/2024

Vulnerabilidad en Click Studios Passwordstate Core (CVE-2024-39337)
Fecha de publicación:
24/06/2024
Idioma:
Español
Click Studios Passwordstate Core anterior a la versión 9.8 build 9858 permite la omisión de autenticación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en MENDELSON AS4 (CVE-2024-39334)
Fecha de publicación:
23/06/2024
Idioma:
Español
MENDELSON AS4 antes de 2024 B376 tiene una vulnerabilidad del lado del cliente cuando un socio comercial proporciona datos XML preparados. Cuando una víctima abre los detalles de esta transacción en el cliente, se pueden escribir archivos en la computadora en la que se ejecuta el proceso del cliente. (El proceso del servidor no se ve afectado).
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Emacs (CVE-2024-39331)
Fecha de publicación:
23/06/2024
Idioma:
Español
En Emacs anterior a 29.4, org-link-expand-abbrev en lisp/ol.el expande una abreviatura de enlace %(...) incluso cuando especifica una función no segura, como shell-command-to-string. Esto afecta al modo de organización anterior a 9.7.5.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/04/2025

Vulnerabilidad en SourceCodester Clinic Queuing System 1.0 (CVE-2024-6273)
Fecha de publicación:
23/06/2024
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Clinic Queuing System 1.0. Ha sido declarada problemática. La función save_patient del archivopatient_side.php es afectada por esta vulnerabilidad. La manipulación del argumento Nombre completo/Contacto/Dirección conduce a Cross-Site Scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-269485.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2024

Vulnerabilidad en parisneo/lollms-webui (CVE-2024-4841)
Fecha de publicación:
23/06/2024
Idioma:
Español
Existe una vulnerabilidad de Path Traversal en parisneo/lollms-webui, específicamente dentro de la función 'add_reference_to_local_mode' debido a la falta de sanitización de entrada. Esta vulnerabilidad afecta a las versiones v9.6 hasta la última. Al explotar esta vulnerabilidad, un atacante puede predecir las carpetas, subcarpetas y archivos presentes en la computadora de la víctima. La vulnerabilidad está presente en la forma en que la aplicación maneja el parámetro 'ruta' en las solicitudes HTTP al endpoint '/add_reference_to_local_model'.
Gravedad CVSS v3.1: BAJA
Última modificación:
07/11/2025

Vulnerabilidad en Ruijie RG-UAC 1.0 (CVE-2024-6269)
Fecha de publicación:
23/06/2024
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Ruijie RG-UAC 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a la función get_ip.addr_details del archivo /view/vpn/autovpn/sxh_vpnlic.php del componente HTTP POST Request Handler. La manipulación del argumento en dispositivo conduce a la inyección de comando. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-269482 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v4.0: MEDIA
Última modificación:
21/08/2025

Vulnerabilidad en lahirudanushka School Management System 1.0.0/1.0.1 (CVE-2024-6268)
Fecha de publicación:
23/06/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en lahirudanushka School Management System 1.0.0/1.0.1 y clasificada como crítica. Una función desconocida del archivo login.php del componente Login Page es afectada por esta vulnerabilidad. La manipulación del argumento email conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-269480.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/09/2024

Vulnerabilidad en SourceCodester Service Provider Management System 1.0 (CVE-2024-6267)
Fecha de publicación:
23/06/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en SourceCodester Service Provider Management System 1.0 y clasificada como problemática. Una función desconocida del archivo system_info/index.php del componente System Info Page es afectada por esta vulnerabilidad. La manipulación del argumento Nombre del sistema/Nombre corto del sistema conduce a Cross-Site Scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-269479.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2024

Vulnerabilidad en Pear Admin Boot (CVE-2024-6266)
Fecha de publicación:
23/06/2024
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Pear Admin Boot hasta 2.0.2 y clasificada como crítica. Una función desconocida del archivo /system/dictData/loadDictItem es afectada por esta vulnerabilidad. La manipulación conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-269478 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/09/2024

Vulnerabilidad en IBM Security SOAR (CVE-2024-38319)
Fecha de publicación:
22/06/2024
Idioma:
Español
IBM Security SOAR 51.0.2.0 podría permitir que un usuario autenticado ejecute código malicioso cargado desde un script especialmente manipulado. ID de IBM X-Force: 294830.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2025

Vulnerabilidad en parisneo/lollms (CVE-2024-5443)
Fecha de publicación:
22/06/2024
Idioma:
Español
CVE-2024-4320 describe una vulnerabilidad en el software parisneo/lollms, específicamente dentro de la función `ExtensionBuilder().build_extension()`. La vulnerabilidad surge del endpoint `/mount_extension`, donde un problema de path traversal permite a los atacantes navegar más allá de la estructura de directorios prevista. Esto se ve facilitado por los parámetros `data.category` y `data.folder` que aceptan cadenas vacías (`""`), lo que, debido a una sanitización de entrada inadecuada, puede conducir a la construcción de un `package_path` que apunte al directorio raíz. En consecuencia, si un atacante puede crear un archivo `config.yaml` en una ruta controlable, esta ruta puede agregarse a la lista de `extensiones` y desencadenar la ejecución de `__init__.py` en el directorio actual, lo que lleva a la ejecución remota de código. La vulnerabilidad afecta a las versiones hasta la 5.9.0 y se solucionó en la versión 9.8.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades