Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco NX-OS (CVE-2024-20321)
Fecha de publicación:
29/02/2024
Idioma:
Español
Una vulnerabilidad en la implementación del protocolo de puerta de enlace de frontera externa (eBGP) del software Cisco NX-OS podría permitir que un atacante remoto no autenticado cause una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad existe porque el tráfico eBGP está asignado a una cola limitadora de velocidad de hardware compartida. Un atacante podría aprovechar esta vulnerabilidad enviando grandes cantidades de tráfico de red con determinadas características a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante provocar la caída de las sesiones vecinas de eBGP, lo que provocaría una condición DoS en la red.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2024

Vulnerabilidad en Cisco (CVE-2024-20344)
Fecha de publicación:
29/02/2024
Idioma:
Español
Una vulnerabilidad en la administración de recursos del sistema en las interconexiones de estructura de las series Cisco UCS 6400 y 6500 que están en el modo administrado Intersight (IMM) podría permitir que un atacante remoto no autenticado cause una condición de denegación de servicio (DoS) en la interfaz de usuario de la consola del dispositivo de un dispositivo afectado. . Esta vulnerabilidad se debe a una limitación de velocidad insuficiente de las conexiones TCP a un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad enviando una gran cantidad de paquetes TCP a la interfaz de usuario de la consola del dispositivo. Un exploit exitoso podría permitir que un atacante cause que el proceso de la interfaz de usuario de la consola del dispositivo se bloquee, lo que resultaría en una condición DoS. Es necesaria una recarga manual de la interconexión de fabric para restaurar la funcionalidad completa.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/08/2025

Vulnerabilidad en Cisco NX-OS (CVE-2024-20267)
Fecha de publicación:
29/02/2024
Idioma:
Español
Una vulnerabilidad en el manejo del tráfico MPLS para el software Cisco NX-OS podría permitir que un atacante remoto no autenticado provoque que el proceso netstack se reinicie inesperadamente, lo que podría provocar que el dispositivo deje de procesar el tráfico de la red o se recargue. Esta vulnerabilidad se debe a la falta de una verificación de errores adecuada al procesar una trama MPLS de entrada. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete IPv6 manipulado y encapsulado dentro de una trama MPLS a una interfaz habilitada para MPLS del dispositivo objetivo. Un exploit exitoso podría permitir al atacante provocar una condición de denegación de servicio (DoS). Nota: El paquete IPv6 se puede generar a varios saltos del dispositivo de destino y luego encapsularse dentro de MPLS. La condición DoS puede ocurrir cuando el dispositivo NX-OS procesa el paquete.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/03/2024

Vulnerabilidad en SourceCodester Web-Based Student Clearance System 1.0 (CVE-2024-1927)
Fecha de publicación:
29/02/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en SourceCodester Web-Based Student Clearance System 1.0 y clasificada como crítica. Una función desconocida del archivo /Admin/login.php es afectada por esta vulnerabilidad. La manipulación del argumento txtpassword conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-254863.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2024

Vulnerabilidad en SourceCodester Web-Based Student Clearance System 1.0 (CVE-2024-1928)
Fecha de publicación:
29/02/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en SourceCodester Web-Based Student Clearance System 1.0 y clasificada como crítica. Una función desconocida del archivo /admin/edit-admin.php del componente Edit User Profile Page es afectada por esta vulnerabilidad. La manipulación del argumento Fullname conduce a la inyección SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-254864.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2024

Vulnerabilidad en Google Chrome (CVE-2024-1938)
Fecha de publicación:
29/02/2024
Idioma:
Español
Type Confusion en V8 en Google Chrome anterior a 122.0.6261.94 permitía a un atacante remoto explotar potencialmente la corrupción de objetos a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
19/12/2024

Vulnerabilidad en Google Chrome (CVE-2024-1939)
Fecha de publicación:
29/02/2024
Idioma:
Español
Type Confusion en V8 en Google Chrome anterior a 122.0.6261.94 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
19/12/2024

Vulnerabilidad en SourceCodester Online Learning System V2 1.0 (CVE-2024-1970)
Fecha de publicación:
29/02/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en SourceCodester Online Learning System V2 1.0 y clasificada como problemática. Una función desconocida del archivo /index.php es afectada por esta vulnerabilidad. La manipulación de la página de argumentos conduce a Cross-Site Scripting. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-255126 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2024

Vulnerabilidad en Surya2Developer Online Shopping System 1.0 (CVE-2024-1971)
Fecha de publicación:
29/02/2024
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Surya2Developer Online Shopping System 1.0 y clasificada como crítica. Una función desconocida del archivo login.php del componente POST Parameter Handler es afectada por esta vulnerabilidad. La manipulación del argumento contraseña con la entrada nochizplz'+or+1%3d1+limit+1%23 conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-255127.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/12/2024

Vulnerabilidad en Keycloak (CVE-2024-1722)
Fecha de publicación:
29/02/2024
Idioma:
Español
Se encontró una falla en Keycloak. En determinadas condiciones, este problema puede permitir que un atacante remoto no autenticado bloquee el inicio de sesión de otras cuentas.
Gravedad CVSS v3.1: BAJA
Última modificación:
14/02/2025

Vulnerabilidad en Featured Image from UR (FIFU) para WordPress (CVE-2024-1496)
Fecha de publicación:
29/02/2024
Idioma:
Español
El complemento Featured Image from UR (FIFU) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro fifu_input_url en todas las versiones hasta la 4.6.2 incluida, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2025

Vulnerabilidad en Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress para WordPress (CVE-2024-1519)
Fecha de publicación:
29/02/2024
Idioma:
Español
El complemento Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'nombre' en todas las versiones hasta la 4.14.4 incluida. debido a una insuficiente sanitización de los insumos y al escape de los productos. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto requiere que una página de listado de miembros esté activa y utilice el tema Gerbera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2025
Suscribirse a Vulnerabilidades