Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Go Project (CVE-2023-45289)
Fecha de publicación:
05/03/2024
Idioma:
Español
Al seguir una redirección HTTP a un dominio que no es una coincidencia de subdominio o una coincidencia exacta del dominio inicial, un cliente http.no reenvía encabezados confidenciales como "Autorización" o "Cookie". Por ejemplo, una redirección de foo.com a www.foo.com reenviará el encabezado de Autorización, pero una redirección a bar.com no. Una redirección HTTP creada con fines malintencionados podría provocar que se reenvíen inesperadamente encabezados confidenciales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2024

Vulnerabilidad en Request.ParseMultipartForm (CVE-2023-45290)
Fecha de publicación:
05/03/2024
Idioma:
Español
Al analizar un formulario de varias partes (ya sea explícitamente con Request.ParseMultipartForm o implícitamente con Request.FormValue, Request.PostFormValue o Request.FormFile), no se aplicaron límites en el tamaño total del formulario analizado a la memoria consumida al leer un solo formulario línea. Esto permite que una entrada creada con fines malintencionados que contenga líneas muy largas provoque la asignación de cantidades de memoria arbitrariamente grandes, lo que podría provocar un agotamiento de la memoria. Con la corrección, la función ParseMultipartForm ahora limita correctamente el tamaño máximo de las líneas del formulario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2024

Vulnerabilidad en Archibus 4.0.3 (CVE-2023-48644)
Fecha de publicación:
05/03/2024
Idioma:
Español
Se descubrió un problema en la aplicación Archibus 4.0.3 para iOS. Existe una vulnerabilidad XSS en la función de creación de solicitud de trabajo del módulo de mantenimiento, a través del campo de descripción. Esto permite a un atacante realizar una acción en nombre del usuario, extraer datos, etc.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en Teamwire Windows (CVE-2024-24275)
Fecha de publicación:
05/03/2024
Idioma:
Español
Vulnerabilidad de cross-site scripting en el cliente de escritorio Teamwire Windows v.2.0.1 a v.2.4.0 permite a un atacante remoto obtener información confidencial a través de un payload manipulada para la función de búsqueda global.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/03/2025

Vulnerabilidad en Teamwire Windows (CVE-2024-24276)
Fecha de publicación:
05/03/2024
Idioma:
Español
Vulnerabilidad de cross-site scripting (XSS) en el cliente de escritorio Teamwire Windows v.2.0.1 a v.2.4.0 permite a un atacante remoto obtener información confidencial a través de un payload manipulada para los componentes de nombre de chat, vista previa de mensaje, nombre de usuario y nombre de grupo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/03/2025

Vulnerabilidad en Teamwire Windows (CVE-2024-24278)
Fecha de publicación:
05/03/2024
Idioma:
Español
Un problema en el cliente de escritorio Teamwire Windows v.2.0.1 a v.2.4.0 permite a un atacante remoto obtener información confidencial a través de un payload manipula para la función de mensaje.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/05/2025

Vulnerabilidad en Certificate.Verify (CVE-2024-24783)
Fecha de publicación:
05/03/2024
Idioma:
Español
La verificación de una cadena de certificados que contiene un certificado con un algoritmo de clave pública desconocido provocará que Certificate.Verify entre en pánico. Esto afecta a todos los clientes cripto/tls y a los servidores que configuran Config.ClientAuth en VerifyClientCertIfGiven o RequireAndVerifyClientCert. El comportamiento predeterminado es que los servidores TLS no verifiquen los certificados de los clientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/11/2024

Vulnerabilidad en ParseAddressList (CVE-2024-24784)
Fecha de publicación:
05/03/2024
Idioma:
Español
La función ParseAddressList controla incorrectamente los comentarios (texto entre paréntesis) dentro de los nombres para mostrar. Dado que se trata de una desalineación con los analizadores de direcciones conformes, puede dar lugar a que los programas que utilizan diferentes analizadores tomen diferentes decisiones de confianza.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2024

Vulnerabilidad en MarshalJSON (CVE-2024-24785)
Fecha de publicación:
05/03/2024
Idioma:
Español
Si los errores devueltos por los métodos MarshalJSON contienen datos controlados por el usuario, se pueden usar para romper el comportamiento de escape automático contextual del paquete html/template, permitiendo acciones posteriores para inyectar contenido inesperado en las plantillas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2025

Vulnerabilidad en protojson.Unmarshal (CVE-2024-24786)
Fecha de publicación:
05/03/2024
Idioma:
Español
La función protojson.Unmarshal puede entrar en un bucle infinito al descomponer ciertas formas de JSON no válido. Esta condición puede ocurrir al descomponer en un mensaje que contiene un valor google.protobuf.Any, o cuando la opción UnmarshalOptions.DiscardUnknown está configurada.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2024

Vulnerabilidad en Jeewms (CVE-2024-27764)
Fecha de publicación:
05/03/2024
Idioma:
Español
Un problema en Jeewms v.3.7 y anteriores permite a un atacante remoto escalar privilegios a través del componente AuthInterceptor.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2025

Vulnerabilidad en Devolutions Server 2023.3.14.0 (CVE-2024-1898)
Fecha de publicación:
05/03/2024
Idioma:
Español
El control de acceso inadecuado en la función de notificación en Devolutions Server 2023.3.14.0 y versiones anteriores permite que un usuario con pocos privilegios cambie la configuración de notificaciones configurada por un administrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2025
Suscribirse a Vulnerabilidades