Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-3152)
Fecha de publicación:
06/06/2024
Idioma:
Español
mintplex-labs/anything-llm es vulnerable a múltiples problemas de seguridad debido a una validación de entrada incorrecta en varios endpoints. Un atacante puede aprovechar estas vulnerabilidades para escalar privilegios de una función de usuario predeterminada a una función de administrador, leer y eliminar archivos arbitrarios en el sistema y realizar ataques de Server-Side Request Forgery (SSRF). Las vulnerabilidades están presentes en `/request-token`, `/workspace/:slug/thread/:threadSlug/update`, `/system/remove-logo`, `/system/logo`, and collector's `/process` endpoints. Estos problemas se deben a que la aplicación no valida adecuadamente la entrada del usuario antes de pasarla a las funciones "prisma" y otras operaciones críticas. Las versiones afectadas incluyen la última versión anterior a 1.0.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/10/2025

Vulnerabilidad en lunary-ai/lunary (CVE-2024-3504)
Fecha de publicación:
06/06/2024
Idioma:
Español
Existe una vulnerabilidad de control de acceso inadecuado en las versiones lunary-ai/lunary hasta la 1.2.2 incluida, donde un administrador puede actualizar cualquier usuario de la organización al propietario de la organización. Esta vulnerabilidad permite al usuario elevado eliminar proyectos dentro de la organización. El problema se resuelve en la versión 1.2.7.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/10/2025

Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36736)
Fecha de publicación:
06/06/2024
Idioma:
Español
Un problema en el componente oneflow.permute de OneFlow-Inc. Oneflow v0.9.1 provoca un cálculo incorrecto cuando se realiza la misma operación de dimensión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/03/2025

Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36737)
Fecha de publicación:
06/06/2024
Idioma:
Español
Validación de entrada incorrecta en OneFlow-Inc. Oneflow v0.9.1 permite a los atacantes provocar una denegación de servicio (DoS) ingresando un valor negativo en el parámetro oneflow.full.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/05/2025

Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36743)
Fecha de publicación:
06/06/2024
Idioma:
Español
Un problema en OneFlow-Inc. Oneflow v0.9.1 permite a los atacantes provocar una denegación de servicio (DoS) cuando se procesa una matriz vacía con oneflow.dot.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/05/2025

Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36745)
Fecha de publicación:
06/06/2024
Idioma:
Español
Un problema en OneFlow-Inc. Oneflow v0.9.1 permite a los atacantes provocar una denegación de servicio (DoS) ingresando un valor negativo en el parámetro oneflow.index_select.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2025

Vulnerabilidad en Luxion KeyShot Viewer (CVE-2024-30375)
Fecha de publicación:
06/06/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código de uso posterior al análisis de archivos KSP de Luxion KeyShot Viewer. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Luxion KeyShot Viewer. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos KSP. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22515.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2024

Vulnerabilidad en Tarslip en deepjavalibrary/djl (CVE-2024-2914)
Fecha de publicación:
06/06/2024
Idioma:
Español
Existe una vulnerabilidad Tarslip en deepjavalibrary/djl, que afecta a la versión 0.26.0 y se corrigió en la versión 0.27.0. Esta vulnerabilidad permite a un atacante manipular rutas de archivos dentro de archivos tar para sobrescribir archivos arbitrarios en el sistema de destino. La explotación de esta vulnerabilidad podría conducir a la ejecución remota de código, escalada de privilegios, robo o manipulación de datos y denegación de servicio. La vulnerabilidad se debe a una validación inadecuada de las rutas de los archivos durante la extracción de archivos tar, como se demuestra en múltiples apariciones dentro del código base de la librería, incluidos, entre otros, los scripts files_util.py y extract_imagenet.py.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2024

Vulnerabilidad en A10 Thunder ADC CsrRequestView (CVE-2024-30368)
Fecha de publicación:
06/06/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código de inyección de comando en A10 Thunder ADC CsrRequestView. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de A10 Thunder ADC. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la clase CsrRequestView. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de un usuario. Era ZDI-CAN-22517.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/09/2024

Vulnerabilidad en A10 Thunder ADC (CVE-2024-30369)
Fecha de publicación:
06/06/2024
Idioma:
Español
Vulnerabilidad de escalada de privilegios locales de asignación de permisos incorrecta en A10 Thunder ADC. Esta vulnerabilidad permite a atacantes locales escalar privilegios en las instalaciones afectadas de A10 Thunder ADC. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder aprovechar esta vulnerabilidad. La falla específica existe dentro del instalador. El problema se debe a permisos incorrectos en un archivo. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de la raíz. Era ZDI-CAN-22754.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/09/2024

Vulnerabilidad en Luxion KeyShot Viewer (CVE-2024-30374)
Fecha de publicación:
06/06/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código de escritura fuera de límites en el análisis de archivos KSP de Luxion KeyShot Viewer. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Luxion KeyShot Viewer. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos KSP. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22449.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2024

Vulnerabilidad en AutoGPT (CVE-2024-1879)
Fecha de publicación:
06/06/2024
Idioma:
Español
Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en la versión v0.5.0 de significant-gravitas/autogpt permite a los atacantes ejecutar comandos arbitrarios en el servidor AutoGPT. La vulnerabilidad se debe a la falta de protección en el endpoint API que recibe instrucciones, lo que permite a un atacante dirigir a un usuario que ejecuta AutoGPT en su red local a un sitio web malicioso. Luego, este sitio puede enviar solicitudes manipuladas al servidor AutoGPT, lo que lleva a la ejecución del comando. El problema se ve agravado por el hecho de que CORS está habilitado para orígenes arbitrarios de forma predeterminada, lo que permite al atacante leer la respuesta de todas las consultas entre sitios. Esta vulnerabilidad se solucionó en la versión 5.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2025
Suscribirse a Vulnerabilidades