Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Manish Kumar Agarwal (CVE-2024-25932)
Fecha de publicación:
29/02/2024
Idioma:
Español
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el prefijo de tabla de cambios de Manish Kumar Agarwal. Este problema afecta el prefijo de tabla de cambios: desde n/a hasta 2.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2025

Vulnerabilidad en Element Android (CVE-2024-26131)
Fecha de publicación:
29/02/2024
Idioma:
Español
Element Android es un cliente Matrix de Android. Element Android versión 1.4.3 a 1.6.10 es vulnerable a la redirección de intención, lo que permite que una aplicación maliciosa de terceros inicie cualquier actividad interna pasando algunos parámetros adicionales. El posible impacto incluye hacer que Element Android muestre una página web arbitraria, ejecutando JavaScript arbitrario; eludir la protección del código PIN; y toma de control de cuentas generando una pantalla de inicio de sesión para enviar credenciales a un servidor doméstico arbitrario. Este problema se solucionó en Element Android 1.6.12. No se conoce ningún workaround para mitigar el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/02/2025

Vulnerabilidad en Element Android (CVE-2024-26132)
Fecha de publicación:
29/02/2024
Idioma:
Español
Element Android es un cliente Matrix de Android. Una aplicación maliciosa de terceros instalada en el mismo teléfono puede obligar a Element Android, versión 0.91.0 a 1.6.12, a compartir archivos almacenados en el directorio "archivos" en el directorio de datos privados de la aplicación en una sala arbitraria. El impacto del ataque se reduce por el hecho de que las bases de datos almacenadas en esta carpeta están cifradas. Sin embargo, contiene otra información potencialmente confidencial, como el token FCM. Las bifurcaciones de Element Android que han configurado `android:exported="false"` en el archivo `AndroidManifest.xml` para la actividad `IncomingShareActivity` no se ven afectadas. Este problema se solucionó en Element Android 1.6.12. No se conoce ningún workaround para mitigar el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2025

Vulnerabilidad en http-swagger (CVE-2024-25712)
Fecha de publicación:
29/02/2024
Idioma:
Español
http-swagger anterior a 1.2.6 permite XSS a través de solicitudes PUT, porque posteriormente se puede acceder a un archivo que se ha subido (a través de httpSwagger.WrapHandler y *webdav.memFile) a través de una solicitud GET. NOTA: esto se puede solucionar de forma independiente con respecto a CVE-2022-24863, porque (si una solución continuara permitiendo solicitudes PUT) los archivos grandes podrían haberse bloqueado sin bloquear JavaScript, o JavaScript podría haberse bloqueado sin bloquear archivos grandes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2025

Vulnerabilidad en F-logic DataCube3 v1.0 (CVE-2024-25830)
Fecha de publicación:
29/02/2024
Idioma:
Español
F-logic DataCube3 v1.0 es vulnerable a un control de acceso incorrecto debido a una restricción de acceso al directorio incorrecta. Un atacante remoto no autenticado puede aprovechar esto enviando un URI que contenga la ruta del archivo de configuración. Un exploit exitoso podría permitir al atacante extraer la contraseña de root y de administrador.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/06/2025

Vulnerabilidad en F-logic DataCube3 (CVE-2024-25831)
Fecha de publicación:
29/02/2024
Idioma:
Español
F-logic DataCube3 versión 1.0 se ve afectada por una vulnerabilidad de Cross-Site Scripting (XSS) reflejada debido a una sanitización de entrada inadecuada. Un atacante remoto autenticado puede ejecutar código JavaScript arbitrario en la interfaz de administración web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2025

Vulnerabilidad en F-logic DataCube3 v1.0 (CVE-2024-25832)
Fecha de publicación:
29/02/2024
Idioma:
Español
F-logic DataCube3 v1.0 es vulnerable a la carga de archivos sin restricciones, lo que podría permitir que un actor malicioso autenticado cargue un archivo de tipo peligroso manipulando la extensión del nombre del archivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2025

Vulnerabilidad en F-logic DataCube3 v1.0 (CVE-2024-25833)
Fecha de publicación:
29/02/2024
Idioma:
Español
F-logic DataCube3 v1.0 es vulnerable a la inyección de SQL no autenticado, lo que podría permitir que un actor malicioso no autenticado ejecute consultas SQL arbitrarias en la base de datos.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/01/2025

Vulnerabilidad en yyjson (CVE-2024-25713)
Fecha de publicación:
29/02/2024
Idioma:
Español
yyjson hasta 0.8.0 tiene un doble free, lo que lleva a la ejecución remota de código en algunos casos, porque la función pool_free carece de comprobaciones de bucle. (pool_free es parte del asignador de series de grupos, junto con pool_malloc y pool_realloc).
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en texlive-bin commit c515e (CVE-2024-25262)
Fecha de publicación:
29/02/2024
Idioma:
Español
Se descubrió que texlive-bin commit c515e contenía un desbordamiento de búfer de almacenamiento dinámico mediante la función ttfLoadHDMX:ttfdump. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) proporcionando un archivo TTF manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en XenForo (CVE-2024-25006)
Fecha de publicación:
29/02/2024
Idioma:
Español
XenForo anterior a 2.2.14 permite el Directory Traversal (con acceso de escritura) por parte de un usuario autenticado que tiene permisos para administrar estilos y utiliza un archivo ZIP para importar estilos.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2025

Vulnerabilidad en Apache OFBiz (CVE-2024-25065)
Fecha de publicación:
29/02/2024
Idioma:
Español
Posible path traversal en Apache OFBiz que permite omitir la autenticación. Se recomienda a los usuarios actualizar a la versión 18.12.12, que soluciona el problema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/05/2025
Suscribirse a Vulnerabilidades