Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenKM versión 7.1.40 (dbb6e88) With Professional Extension (CVE-2023-50072)
Fecha de publicación:
13/01/2024
Idioma:
Español
Existe una vulnerabilidad de cross site scripting almacenado (XSS) en OpenKM versión 7.1.40 (dbb6e88) With Professional Extension que permite a un usuario autenticado cargar una nota en un archivo que actúa como un payload XSS almacenado. Cualquier usuario que abra la nota de un archivo de documento activará el XSS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2025

Vulnerabilidad en MailMunch Constant Contact Forms de MailMunch (CVE-2024-22137)
Fecha de publicación:
13/01/2024
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Scripting entre sitios') en MailMunch Constant Contact Forms de MailMunch permite XSS almacenado. Este problema afecta a Constant Contact Forms de MailMunch: desde n/a hasta 2.0.11.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/01/2024

Vulnerabilidad en Cozmoslabs Profile Builder Pro (CVE-2024-22142)
Fecha de publicación:
13/01/2024
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Scripting entre sitios') en Cozmoslabs Profile Builder Pro permite el XSS reflejado. Este problema afecta a Profile Builder Pro: desde n/a hasta 3.10.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/01/2024

Vulnerabilidad en code-projects Dormitory Management System 1.0 (CVE-2024-0475)
Fecha de publicación:
13/01/2024
Idioma:
Español
Una vulnerabilidad clasificada como crítica fue encontrada en code-projects Dormitory Management System 1.0. Una función desconocida del archivo modifyuser.php es afectada por esta vulnerabilidad. La manipulación del argumento user_id conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-250580.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en Relax-and-Recover (CVE-2024-23301)
Fecha de publicación:
12/01/2024
Idioma:
Español
Relax-and-Recover (a.k.a ReaR) hasta 2.7 crea un initrd world-readable cuando se usa GRUB_RESCUE=y. Esto permite a los atacantes locales obtener acceso a secretos del sistema que de otro modo sólo serían legibles por root.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/12/2025

Vulnerabilidad en SOAP integrado en Atos Unify OpenScape Voice V10 (CVE-2023-48166)
Fecha de publicación:
12/01/2024
Idioma:
Español
Una vulnerabilidad de directory traversal en el servidor SOAP integrado en Atos Unify OpenScape Voice V10 anterior a V10R3.26.1 permite a un atacante remoto ver el contenido de archivos arbitrarios en el sistema de archivos local. Un atacante no autenticado podría obtener archivos confidenciales que permitan comprometer el sistema subyacente.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/06/2025

Vulnerabilidad en code-projects Dormitory Management System 1.0 (CVE-2024-0474)
Fecha de publicación:
12/01/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en code-projects Dormitory Management System 1.0 y clasificada como crítica. Una función desconocida del archivo login.php es afectada por esta vulnerabilidad. La manipulación del argumento username conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-250579.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en Magic Keyboard Firmware (CVE-2024-0230)
Fecha de publicación:
12/01/2024
Idioma:
Español
Se solucionó un problema de gestión de sesiones con comprobaciones mejoradas. Este problema se solucionó en la actualización de Magic Keyboard Firmware 2.0.6. Un atacante con acceso físico al accesorio puede extraer su clave de emparejamiento de Bluetooth y monitorear el tráfico de Bluetooth.
Gravedad CVSS v3.1: BAJA
Última modificación:
04/11/2025

Vulnerabilidad en Zoom Desktop Client para Windows, Zoom VDI Client para Windows y Zoom SDK para Windows (CVE-2023-49647)
Fecha de publicación:
12/01/2024
Idioma:
Español
Un control de acceso inadecuado en Zoom Desktop Client para Windows, Zoom VDI Client para Windows y Zoom SDK para Windows anteriores a la versión 5.16.10 puede permitir que un usuario autenticado realice una escalada de privilegios a través del acceso local.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/09/2024

Vulnerabilidad en code-projects Dormitory Management System 1.0 (CVE-2024-0472)
Fecha de publicación:
12/01/2024
Idioma:
Español
Se encontró una vulnerabilidad en code-projects Dormitory Management System 1.0. Ha sido calificada como problemática. Este problema afecta un procesamiento desconocido del archivo modifyuser.php. La manipulación del argumento mname conduce a la divulgación de información. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-250577.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/10/2024

Vulnerabilidad en code-projects Dormitory Management System 1.0 (CVE-2024-0473)
Fecha de publicación:
12/01/2024
Idioma:
Español
Una vulnerabilidad ha sido encontrada en code-projects Dormitory Management System 1.0 y clasificada como crítica. Una función desconocida del archivo comment.php es afectada por esta vulnerabilidad. La manipulación del argumento com conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-250578 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en CEF (Chromium Embedded Framework) (CVE-2024-21639)
Fecha de publicación:
12/01/2024
Idioma:
Español
CEF (Chromium Embedded Framework) es un framework simple para integrar navegadores basados en Chromium en otras aplicaciones. `CefLayeredWindowUpdaterOSR::OnAllocatedSharedMemory` no verifica el tamaño de la memoria compartida, lo que genera lecturas fuera de los límites fuera de la sandbox. Esta vulnerabilidad fue parcheada en el commit 1f55d2e.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/01/2024
Suscribirse a Vulnerabilidades