Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Kerberos 5 (CVE-2024-26461)
Fecha de publicación:
29/02/2024
Idioma:
Español
Kerberos 5 (también conocido como krb5) 1.21.2 contiene una vulnerabilidad de pérdida de memoria en /krb5/src/lib/gssapi/krb5/k5sealv3.c.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/05/2025

Vulnerabilidad en Kerberos 5 (CVE-2024-26462)
Fecha de publicación:
29/02/2024
Idioma:
Español
Kerberos 5 (también conocido como krb5) 1.21.2 contiene una vulnerabilidad de pérdida de memoria en /krb5/src/kdc/ndr.c.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2025

Vulnerabilidad en WebAPI Boilerplate y FullStackHero (CVE-2024-26470)
Fecha de publicación:
29/02/2024
Idioma:
Español
Una vulnerabilidad de inyección de encabezado de host en la función de contraseña olvidada de WebAPI Boilerplate v1.0.0 y v1.0.1 de FullStackHero permite a los atacantes filtrar el token de restablecimiento de contraseña a través de una solicitud manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/04/2025

Vulnerabilidad en zhimengzhe iBarn v1.5 (CVE-2024-26471)
Fecha de publicación:
29/02/2024
Idioma:
Español
Una vulnerabilidad reflejada de Cross-Site Scripting (XSS) en zhimengzhe iBarn v1.5 permite a los atacantes inyectar JavaScript malicioso en el navegador web de una víctima a través del parámetro de búsqueda en offer.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en Nuggethon para WooCommerce (CVE-2024-25930)
Fecha de publicación:
29/02/2024
Idioma:
Español
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en los estados de pedidos personalizados de Nuggethon para WooCommerce. Este problema afecta a los estados de pedidos personalizados para WooCommerce: desde n/a hasta 1.5.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2025

Vulnerabilidad en Heureka Group Heureka (CVE-2024-25931)
Fecha de publicación:
29/02/2024
Idioma:
Español
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Heureka Group Heureka. Este problema afecta a Heureka: desde n/a hasta 1.0.8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2025

Vulnerabilidad en Manish Kumar Agarwal (CVE-2024-25932)
Fecha de publicación:
29/02/2024
Idioma:
Español
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el prefijo de tabla de cambios de Manish Kumar Agarwal. Este problema afecta el prefijo de tabla de cambios: desde n/a hasta 2.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2025

Vulnerabilidad en Element Android (CVE-2024-26131)
Fecha de publicación:
29/02/2024
Idioma:
Español
Element Android es un cliente Matrix de Android. Element Android versión 1.4.3 a 1.6.10 es vulnerable a la redirección de intención, lo que permite que una aplicación maliciosa de terceros inicie cualquier actividad interna pasando algunos parámetros adicionales. El posible impacto incluye hacer que Element Android muestre una página web arbitraria, ejecutando JavaScript arbitrario; eludir la protección del código PIN; y toma de control de cuentas generando una pantalla de inicio de sesión para enviar credenciales a un servidor doméstico arbitrario. Este problema se solucionó en Element Android 1.6.12. No se conoce ningún workaround para mitigar el problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/02/2025

Vulnerabilidad en Element Android (CVE-2024-26132)
Fecha de publicación:
29/02/2024
Idioma:
Español
Element Android es un cliente Matrix de Android. Una aplicación maliciosa de terceros instalada en el mismo teléfono puede obligar a Element Android, versión 0.91.0 a 1.6.12, a compartir archivos almacenados en el directorio "archivos" en el directorio de datos privados de la aplicación en una sala arbitraria. El impacto del ataque se reduce por el hecho de que las bases de datos almacenadas en esta carpeta están cifradas. Sin embargo, contiene otra información potencialmente confidencial, como el token FCM. Las bifurcaciones de Element Android que han configurado `android:exported="false"` en el archivo `AndroidManifest.xml` para la actividad `IncomingShareActivity` no se ven afectadas. Este problema se solucionó en Element Android 1.6.12. No se conoce ningún workaround para mitigar el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2025

Vulnerabilidad en http-swagger (CVE-2024-25712)
Fecha de publicación:
29/02/2024
Idioma:
Español
http-swagger anterior a 1.2.6 permite XSS a través de solicitudes PUT, porque posteriormente se puede acceder a un archivo que se ha subido (a través de httpSwagger.WrapHandler y *webdav.memFile) a través de una solicitud GET. NOTA: esto se puede solucionar de forma independiente con respecto a CVE-2022-24863, porque (si una solución continuara permitiendo solicitudes PUT) los archivos grandes podrían haberse bloqueado sin bloquear JavaScript, o JavaScript podría haberse bloqueado sin bloquear archivos grandes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2025

Vulnerabilidad en F-logic DataCube3 v1.0 (CVE-2024-25830)
Fecha de publicación:
29/02/2024
Idioma:
Español
F-logic DataCube3 v1.0 es vulnerable a un control de acceso incorrecto debido a una restricción de acceso al directorio incorrecta. Un atacante remoto no autenticado puede aprovechar esto enviando un URI que contenga la ruta del archivo de configuración. Un exploit exitoso podría permitir al atacante extraer la contraseña de root y de administrador.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/06/2025

Vulnerabilidad en F-logic DataCube3 (CVE-2024-25831)
Fecha de publicación:
29/02/2024
Idioma:
Español
F-logic DataCube3 versión 1.0 se ve afectada por una vulnerabilidad de Cross-Site Scripting (XSS) reflejada debido a una sanitización de entrada inadecuada. Un atacante remoto autenticado puede ejecutar código JavaScript arbitrario en la interfaz de administración web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/01/2025
Suscribirse a Vulnerabilidades