Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WooCommerce (CVE-2024-37297)
Fecha de publicación:
12/06/2024
Idioma:
Español
WooCommerce es una plataforma de comercio electrónico de código abierto construida sobre WordPress. Una vulnerabilidad introducida en WooCommerce 8.8 permite cross-site scripting. Un mal actor puede manipular un enlace para incluir contenido HTML y JavaScript malicioso. Si bien el contenido no se guarda en la base de datos, los enlaces pueden enviarse a las víctimas con fines maliciosos. El JavaScript inyectado podría secuestrar el contenido y los datos almacenados en el navegador, incluida la sesión. El contenido de la URL se lee a través de la librería `Sourcebuster.js` y luego se inserta sin la sanitización adecuada en los formularios clásicos de pago y registro. Las versiones 8.8.5 y 8.9.3 contienen un parche para el problema. Como workaround, se puede desactivar la función de atribución de pedidos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/07/2024

Vulnerabilidad en NuGet Gallery (CVE-2024-37304)
Fecha de publicación:
12/06/2024
Idioma:
Español
NuGet Gallery es un repositorio de paquetes que impulsa nuget.org. NuGetGallery tiene una vulnerabilidad de seguridad relacionada con el manejo de enlaces automáticos en el contenido de Markdown. Si bien la plataforma filtra adecuadamente JavaScript de los enlaces estándar, no sanitiza adecuadamente los enlaces automáticos. Esta supervisión permite a los atacantes explotar los enlaces automáticos como vector para ataques de cross-site scripting (XSS). Cuando un usuario ingresa un enlace automático de Markdown como ``, el enlace se representa sin la sanitización adecuada. Esto significa que el navegador puede ejecutar el código JavaScript dentro del enlace automático, lo que provoca un ataque XSS. La versión 2024.05.28 contiene un parche para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/09/2025

Vulnerabilidad en Apache Submarine Server Core (CVE-2024-36265)
Fecha de publicación:
12/06/2024
Idioma:
Español
** NO SOPORTADO CUANDO SE ASIGNÓ ** Vulnerabilidad de autorización incorrecta en Apache Submarine Server Core. Este problema afecta a Apache Submarine Server Core: desde 0.8.0. Como este proyecto está retirado, no planeamos lanzar una versión que solucione este problema. Se recomienda a los usuarios que busquen una alternativa o restrinjan el acceso a la instancia a usuarios confiables. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/03/2025

Vulnerabilidad en PPGo_Jobs v2.8.0 (CVE-2024-36691)
Fecha de publicación:
12/06/2024
Idioma:
Español
Los permisos inseguros en el método AdminController.AjaxSave() de PPGo_Jobs v2.8.0 permiten a atacantes autenticados modificar arbitrariamente la información de la cuenta de los usuarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Boelter Blue System Management v.1.3 (CVE-2024-36840)
Fecha de publicación:
12/06/2024
Idioma:
Español
Vulnerabilidad de inyección SQL en Boelter Blue System Management v.1.3 permite a un atacante remoto ejecutar código arbitrario y obtener información confidencial a través del parámetro id de news_details.php y location_details.php; y el parámetro de sección para services.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Strapi (CVE-2024-31217)
Fecha de publicación:
12/06/2024
Idioma:
Español
Strapi es un sistema de gestión de contenidos de código abierto. Antes de la versión 4.22.0, había una vulnerabilidad de denegación de servicio en el proceso de carga de medios que provocaba que el servidor fallara sin reiniciarse, lo que afectaba los entornos de desarrollo y producción. Por lo general, los errores en la aplicación hacen que registre el error y lo mantenga ejecutándose para otros clientes. Este comportamiento, por el contrario, detiene la ejecución del servidor, haciéndolo no disponible para ningún cliente hasta que se reinicie manualmente. Cualquier usuario con acceso a la función de carga de archivos puede aprovechar esta vulnerabilidad, lo que afecta también a las aplicaciones que se ejecutan tanto en modo de desarrollo como en modo de producción. Los usuarios deben actualizar @strapi/plugin-upload a la versión 4.22.0 para recibir un parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2024

Vulnerabilidad en Strapi (CVE-2024-34065)
Fecha de publicación:
12/06/2024
Idioma:
Español
Strapi es un sistema de gestión de contenidos de código abierto. Al combinar dos vulnerabilidades (un `Open Redirect` y un `token de sesión enviado como parámetro de consulta de URL`) en @strapi/plugin-users-permissions antes de la versión 4.24.2, es posible que un atacante no autenticado evite los mecanismos de autenticación y recupere the 3rd party tokens. El ataque requiere la interacción del usuario (un clic). Los atacantes no autenticados pueden aprovechar dos vulnerabilidades para obtener un token de terceros y evitar la autenticación de las aplicaciones Strapi. Los usuarios deben actualizar @strapi/plugin-users-permissions a la versión 4.24.2 para recibir un parche.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2024

Vulnerabilidad en HP Advance para iOS y Android (CVE-2024-2300)
Fecha de publicación:
12/06/2024
Idioma:
Español
Las aplicaciones móviles HP Advance para iOS y Android son potencialmente vulnerables a la divulgación de información cuando se utiliza una versión desactualizada de la aplicación a través de dispositivos móviles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Dell Common Event Enabler (CVE-2024-28964)
Fecha de publicación:
12/06/2024
Idioma:
Español
Dell Common Event Enabler, versión 8.9.10.0 y anteriores, contiene una vulnerabilidad de deserialización insegura en CAVATools. Un atacante local no autenticado podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de código arbitrario en el contexto del usuario que inició sesión. La explotación de este problema requiere que la víctima abra un archivo malicioso.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2024

Vulnerabilidad en Strapi (CVE-2024-29181)
Fecha de publicación:
12/06/2024
Idioma:
Español
Strapi es un sistema de gestión de contenidos de código abierto. Antes de la versión 4.19.1, un superadministrador podía crear una colección en la que un elemento de la colección tuviera una asociación con otra colección. Cuando esto sucede, otro usuario con rol de autor puede ver la lista de elementos asociados que no creó. No deberían ver nada más que los elementos que crearon, no todos los elementos creados alguna vez. Los usuarios deben actualizar @strapi/plugin-content-manager a la versión 4.19.1 para recibir un parche.
Gravedad CVSS v3.1: BAJA
Última modificación:
26/09/2024

Vulnerabilidad en GNU Debugger (CVE-2024-36699)
Fecha de publicación:
12/06/2024
Idioma:
Español
Se descubrió que GNU Debugger v8.2 a v14.2 contiene un desbordamiento de búfer a través del componente gdb.selected_inferior().read_memory en utils.c.
Gravedad: Pendiente de análisis
Última modificación:
14/06/2024

Vulnerabilidad en Quay (CVE-2024-5891)
Fecha de publicación:
12/06/2024
Idioma:
Español
Se encontró una vulnerabilidad en Quay. Si un atacante puede obtener el ID de cliente de una aplicación, puede utilizar un token de OAuth para autenticarse a pesar de no tener acceso a la organización desde la que se creó la aplicación. Este problema se limita a la autenticación y no a la autorización. Sin embargo, en configuraciones donde los endpoints dependen únicamente de la autenticación, un usuario puede autenticarse en aplicaciones a las que de otro modo no tendría acceso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/10/2024
Suscribirse a Vulnerabilidades