Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Amazon SageMaker (CVE-2024-34072)
Fecha de publicación:
03/05/2024
Idioma:
Español
sagemaker-python-sdk es una librería para entrenar e implementar modelos de aprendizaje automático en Amazon SageMaker. El módulo sagemaker.base_deserializers.NumpyDeserializer anterior a v2.218.0 permite una deserialización potencialmente insegura cuando se pasan datos que no son de confianza como matrices de objetos encurtidos. En consecuencia, esto puede permitir que un tercero sin privilegios provoque la ejecución remota de código y la denegación de servicio, afectando tanto la confidencialidad como la integridad. Se recomienda a los usuarios que actualicen a la versión 2.218.0. Los usuarios que no puedan actualizar no deben pasar conjuntos de objetos numerosos y encurtidos que se originaron en una fuente que no es de confianza o que podrían haber sido manipulados. Pase únicamente matrices de objetos numerosos encurtidos de fuentes confiables.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2024

Vulnerabilidad en Amazon SageMaker (CVE-2024-34073)
Fecha de publicación:
03/05/2024
Idioma:
Español
sagemaker-python-sdk es una librería para entrenar e implementar modelos de aprendizaje automático en Amazon SageMaker. En las versiones afectadas, la función capture_dependencies en el módulo `sagemaker.serve.save_retrive.version_1_0_0.save.utils` permite la inyección de comandos del sistema operativo (SO) potencialmente inseguro si se pasa un comando inapropiado como parámetro “requirements_path”. En consecuencia, esto puede permitir que un tercero sin privilegios provoque la ejecución remota de código y la denegación de servicio, afectando tanto la confidencialidad como la integridad. Este problema se solucionó en la versión 2.214.3. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar no deben anular el parámetro "requirements_path" de la función capture_dependencies en `sagemaker.serve.save_retrive.version_1_0_0.save.utils` y, en su lugar, usar el valor predeterminado.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2024

Vulnerabilidad en SugarSync (CVE-2024-4461)
Fecha de publicación:
03/05/2024
Idioma:
Español
Vulnerabilidad de ruta sin comillas o elemento de búsqueda en versiones de SugarSync anteriores a la 4.1.3 para Windows. Esta mala configuración podría permitir que un usuario local no autorizado inyecte código arbitrario en la ruta del servicio sin comillas, lo que resultaría en una escalada de privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2024

Vulnerabilidad en tqdm (CVE-2024-34062)
Fecha de publicación:
03/05/2024
Idioma:
Español
tqdm es una barra de progreso de código abierto para Python y CLI. Cualquier argumento CLI opcional no booleano (por ejemplo, `--delim`, `--buf-size`, `--manpath`) se pasa a través del `eval` de Python, lo que permite la ejecución de código arbitrario. Este problema solo se puede explotar localmente y se solucionó en la versión 4.66.3. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2024

Vulnerabilidad en vodozemac (CVE-2024-34063)
Fecha de publicación:
03/05/2024
Idioma:
Español
vodozemac es una implementación de Olm y Megolm en Rust puro. Las versiones 0.5.0 y 0.5.1 de vodozemac han degradado las capacidades de puesta a cero secreta, debido a cambios en las dependencias criptográficas de terceros (las cajas Dalek), que movieron las capacidades de puesta a cero secreta detrás de un indicador de característica y desactivaron esta característica de forma predeterminada. Las capacidades degradadas de puesta a cero podrían dar como resultado la producción de más copias de memoria de secretos de cifrado y los secretos podrían permanecer en la memoria más tiempo del necesario. Esto aumenta marginalmente el riesgo de exposición de datos confidenciales. Este problema se solucionó en la versión 0.6.0 y se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/05/2024

Vulnerabilidad en PWAsForFirefox (CVE-2024-32986)
Fecha de publicación:
03/05/2024
Idioma:
Español
PWAsForFirefox es una herramienta para instalar, administrar y utilizar aplicaciones web progresivas (PWA) en Mozilla Firefox. Debido a una sanitización inadecuada de las propiedades de la aplicación web (como nombre, descripción, accesos directos), las aplicaciones web pudieron inyectar líneas adicionales en XDG Desktop Entries (en Linux) y `AppInfo.ini` (en PortableApps.com). Esto permitió que aplicaciones web maliciosas introdujeran claves como "Exec", que podían ejecutar código arbitrario cuando se iniciaba la aplicación web afectada. Esta vulnerabilidad afecta a todos los usuarios de Linux y PortableApps.com de todas las versiones de PWAsForFirefox hasta (excluida) 2.12.0. Los usuarios de Windows y macOS no se ven afectados. Esta vulnerabilidad se solucionó en la confirmación `9932d4b` que se incluyó en la versión v2.12.0. La solución principal se implementa en la parte nativa, pero la extensión también contiene correcciones adicionales. Se recomienda a todos los usuarios de Linux y PortableApps.com que actualicen a esta versión lo antes posible. También se recomienda que los usuarios de Windows y macOS actualicen a esta versión, ya que contiene correcciones adicionales relacionadas con la desinfección de propiedades. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/05/2024

Vulnerabilidad en ReviewX (CVE-2024-33921)
Fecha de publicación:
03/05/2024
Idioma:
Español
Vulnerabilidad de control de acceso roto en ReviewX. Este problema afecta a ReviewX: desde n/a hasta 1.6.21.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2025

Vulnerabilidad en Smartypants SP Project & Document Manager (CVE-2024-33923)
Fecha de publicación:
03/05/2024
Idioma:
Español
Vulnerabilidad de autorización faltante en Smartypants SP Project & Document Manager. Este problema afecta a SP Project & Document Manager: desde n/a hasta 4.69.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2024

Vulnerabilidad en Adrian Mörchen Embed Google Fonts (CVE-2024-33925)
Fecha de publicación:
03/05/2024
Idioma:
Español
Vulnerabilidad de autorización faltante en Adrian Mörchen Embed Google Fonts. Este problema afecta a Embed Google Fonts: desde n/a hasta 3.1.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2024

Vulnerabilidad en wpWax Directorist (CVE-2024-33929)
Fecha de publicación:
03/05/2024
Idioma:
Español
Vulnerabilidad de autorización faltante en wpWax Directorist. Este problema afecta a Directorist: desde n/a hasta 7.8.6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2024

Vulnerabilidad en ilGhera JW Player para WordPress (CVE-2024-33931)
Fecha de publicación:
03/05/2024
Idioma:
Español
Vulnerabilidad de autorización faltante en ilGhera JW Player para WordPress. Este problema afecta a JW Player para WordPress: desde n/a hasta 2.3.3.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2024

Vulnerabilidad en Nico Martin Progressive WordPress (CVE-2024-33937)
Fecha de publicación:
03/05/2024
Idioma:
Español
Vulnerabilidad de autorización faltante en Nico Martin Progressive WordPress (PWA). Este problema afecta a Progressive WordPress (PWA): desde n/a hasta 2.1.13.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2024
Suscribirse a Vulnerabilidades