Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en livewire (CVE-2024-22859)
Fecha de publicación:
01/02/2024
Idioma:
Español
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en livewire anterior a v3.0.4, permite a atacantes remotos ejecutar código arbitrario en la función getCsrfToken.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/05/2025

Vulnerabilidad en El complemento Advanced iFrame para WordPress (CVE-2023-7069)
Fecha de publicación:
01/02/2024
Idioma:
Español
El complemento Advanced iFrame para WordPress es vulnerable a cross site scripting almacenado a través del código corto 'advanced_iframe' del complemento en todas las versiones hasta la 2023.10 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/02/2024

Vulnerabilidad en Group Office (CVE-2024-23941)
Fecha de publicación:
01/02/2024
Idioma:
Español
Existe una vulnerabilidad de cross site scripting en Group Office antes de v6.6.182, antes de v6.7.64 y antes de v6.8.31, lo que puede permitir que un atacante remoto autenticado ejecute un script arbitrario en el navegador web del usuario que inicia sesión en el producto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2025

Vulnerabilidad en Vault y Vault Enterprise (CVE-2024-0831)
Fecha de publicación:
01/02/2024
Idioma:
Español
Vault y Vault Enterprise (“Vault”) pueden exponer información confidencial al habilitar un dispositivo de auditoría que especifica la opción `log_raw`, que puede registrar información confidencial en otros dispositivos de auditoría, independientemente de si están configurados para usar `log_raw`.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2024

Vulnerabilidad en facileManager (CVE-2024-24571)
Fecha de publicación:
31/01/2024
Idioma:
Español
facileManager es un conjunto modular de aplicaciones web creadas pensando en el administrador del sistema. Para las versiones 4.5.0 y anteriores de la aplicación web facileManager, descubrimos que XSS estaba presente en casi todos los campos de entrada porque no había suficiente validación de entrada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/02/2024

Vulnerabilidad en facileManager (CVE-2024-24572)
Fecha de publicación:
31/01/2024
Idioma:
Español
facileManager es un conjunto modular de aplicaciones web creadas pensando en el administrador del sistema. En las versiones 4.5.0 y anteriores, la matriz global $_REQUEST se llamaba de forma insegura dentro de una función extract() en admin-logs.php. El archivo PHP fm-init.php evita la manipulación arbitraria de $_SESSION a través de los parámetros GET/POST. Sin embargo, no impide la manipulación de otras variables sensibles como $search_sql. Sabiendo esto, un usuario autenticado con privilegios para ver los registros del sitio puede manipular la variable search_sql agregando un parámetro GET search_sql en la URL. La información anterior significa que las comprobaciones y los intentos de prevención de inyección SQL quedaron inutilizables.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/02/2024

Vulnerabilidad en facileManager (CVE-2024-24573)
Fecha de publicación:
31/01/2024
Idioma:
Español
facileManager es un conjunto modular de aplicaciones web creadas pensando en el administrador del sistema. En las versiones 4.5.0 y anteriores, cuando un usuario actualiza su perfil, se envía una solicitud POST que contiene información del usuario al servidor de endpoint /fm-modules/facileManager/ajax/processPost.php. Se descubrió que los no administradores pueden establecer arbitrariamente sus permisos y otorgar a sus cuentas de no administrador privilegios de superusuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/02/2024

Vulnerabilidad en BuildKit (CVE-2024-23651)
Fecha de publicación:
31/01/2024
Idioma:
Español
BuildKit es un conjunto de herramientas para convertir código fuente para crear artefactos de manera eficiente, expresiva y repetible. Dos pasos de compilación maliciosos que se ejecutan en paralelo y comparten los mismos montajes de caché con subrutas podrían causar una condición de ejecución que puede hacer que los archivos del sistema host sean accesibles al contenedor de compilación. El problema se solucionó en v0.12.5. Los workarounds incluyen evitar el uso de la interfaz de BuildKit desde una fuente que no es de confianza o crear un Dockerfile que no sea de confianza que contenga montajes de caché con las opciones --mount=type=cache,source=....
Gravedad CVSS v3.1: ALTA
Última modificación:
09/02/2024

Vulnerabilidad en BuildKit (CVE-2024-23652)
Fecha de publicación:
31/01/2024
Idioma:
Español
BuildKit es un conjunto de herramientas para convertir código fuente para crear artefactos de manera eficiente, expresiva y repetible. Una interfaz de BuildKit maliciosa o un Dockerfile que use RUN --mount podría engañar a la función que elimina archivos vacíos creados para los puntos de montaje para que elimine un archivo fuera del contenedor, del sistema host. El problema se solucionó en v0.12.5. Los workarounds incluyen evitar el uso de interfaces de BuildKit desde una fuente que no sea de confianza o crear un Dockerfile que no sea de confianza que contenga la función RUN --mount.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/02/2024

Vulnerabilidad en BuildKit (CVE-2024-23653)
Fecha de publicación:
31/01/2024
Idioma:
Español
BuildKit es un conjunto de herramientas para convertir código fuente para crear artefactos de manera eficiente, expresiva y repetible. Además de ejecutar contenedores como pasos de compilación, BuildKit también proporciona API para ejecutar contenedores interactivos basados en imágenes creadas. Era posible utilizar estas API para pedirle a BuildKit que ejecutara un contenedor con privilegios elevados. Normalmente, la ejecución de dichos contenedores solo se permite si el derecho especial `security.insecure` está habilitado tanto por la configuración de buildkitd como por el usuario que inicializa la solicitud de compilación. El problema se solucionó en v0.12.5. Evite el uso de interfaces BuildKit de fuentes no confiables.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/02/2024

Vulnerabilidad en MinIO (CVE-2024-24747)
Fecha de publicación:
31/01/2024
Idioma:
Español
MinIO es un almacenamiento de objetos de alto rendimiento. Cuando alguien crea una clave de acceso, hereda los permisos de la clave principal. No solo para acciones `s3:*`, sino también para acciones `admin:*`. Lo que significa que, a menos que en algún lugar superior de la jerarquía de claves de acceso se denieguen los derechos de "administrador", las claves de acceso podrán simplemente anular sus propios permisos "s3" por algo más permisivo. La vulnerabilidad se solucionó en RELEASE.2024-01-31T20-20-33Z.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/02/2024

Vulnerabilidad en BuildKit (CVE-2024-23650)
Fecha de publicación:
31/01/2024
Idioma:
Español
BuildKit es un conjunto de herramientas para convertir código fuente para crear artefactos de manera eficiente, expresiva y repetible. Un cliente o interfaz de BuildKit malicioso podría crear una solicitud que podría provocar que el daemon BuildKit se bloquee en pánico. El problema se solucionó en v0.12.5. Como workaround, evite utilizar interfaces BuildKit de fuentes que no sean de confianza.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/02/2024
Suscribirse a Vulnerabilidades