Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Zoom (CVE-2024-24697)
Fecha de publicación:
14/02/2024
Idioma:
Español
Una ruta de búsqueda que no es de confianza en algunos clientes Zoom de Windows de 32 bits puede permitir que un usuario autenticado realice una escalada de privilegios a través del acceso local.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2024

Vulnerabilidad en Zoom (CVE-2024-24698)
Fecha de publicación:
14/02/2024
Idioma:
Español
La autenticación inadecuada en algunos clientes de Zoom puede permitir que un usuario privilegiado realice una divulgación de información a través del acceso local.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/10/2024

Vulnerabilidad en Red Hat (CVE-2024-1485)
Fecha de publicación:
14/02/2024
Idioma:
Español
Se encontró una vulnerabilidad en la función de descompresión del soporte de registro. Este problema puede ser desencadenado por un atacante remoto no autenticado al engañar a un usuario para que abra un archivo .tar especialmente modificado, lo que lleva al proceso de limpieza a seguir rutas relativas para sobrescribir o eliminar archivos fuera del alcance previsto.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en TYPO3 (CVE-2024-25121)
Fecha de publicación:
13/02/2024
Idioma:
Español
TYPO3 es un sistema de gestión de contenido web basado en PHP de código abierto publicado bajo GNU GPL. En las versiones afectadas de TYPO3, las entidades de la capa de abstracción de archivos (FAL) se podían conservar directamente a través de `DataHandler`. Esto permitió a los atacantes hacer referencia a archivos en el almacenamiento alternativo directamente y recuperar sus nombres y contenidos. El almacenamiento alternativo ("almacenamiento cero") se utiliza como capa de compatibilidad con versiones anteriores para archivos ubicados fuera de los almacenamientos de archivos configurados correctamente y dentro del directorio raíz web público. Para explotar esta vulnerabilidad se requiere una cuenta de usuario backend válida. Se recomienda a los usuarios que actualicen a TYPO3 versión 8.7.57 ELTS, 9.5.46 ELTS, 10.4.43 ELTS, 11.5.35 LTS, 12.4.11 LTS o 13.0.1, que solucionan el problema descrito. Cuando se persisten entidades de la capa de abstracción de archivos directamente a través de DataHandler, las entidades `sys_file` ahora están denegadas de forma predeterminada, y las entidades `sys_file_reference` y `sys_file_metadata` ya no pueden hacer referencia a archivos en el almacenamiento alternativo. Al importar datos desde orígenes seguros, esto debe habilitarse explícitamente en la instancia de DataHandler correspondiente usando `$dataHandler->isImporting = true;`.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/10/2024

Vulnerabilidad en Raiden Professional Server RaidenFTPD (CVE-2023-38960)
Fecha de publicación:
13/02/2024
Idioma:
Español
Problema de permisos inseguros en Raiden Professional Server RaidenFTPD v.2.4 build 4005 permite a un atacante local obtener privilegios y ejecutar código arbitrario a través de un ejecutable manipulado que se ejecuta desde el directorio de instalación.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en TYPO3 (CVE-2024-25118)
Fecha de publicación:
13/02/2024
Idioma:
Español
TYPO3 es un sistema de gestión de contenido web basado en PHP de código abierto publicado bajo GNU GPL. Los hashes de contraseñas se reflejaban en los formularios de edición de la interfaz de usuario del backend de TYPO3. Esto permitió a los atacantes descifrar la contraseña en texto plano utilizando técnicas de fuerza bruta. Para explotar esta vulnerabilidad se requiere una cuenta de usuario backend válida. Se recomienda a los usuarios actualizar a las versiones 8.7.57 ELTS, 9.5.46 ELTS, 10.4.43 ELTS, 11.5.35 LTS, 12.4.11 LTS, 13.0.1 de TYPO3 que solucionan el problema descrito. No se conocen workarounds para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2024

Vulnerabilidad en TYPO3 (CVE-2024-25119)
Fecha de publicación:
13/02/2024
Idioma:
Español
TYPO3 es un sistema de gestión de contenido web basado en PHP de código abierto publicado bajo GNU GPL. El valor de texto plano de `$GLOBALS['SYS']['encryptionKey']` se mostró en los formularios de edición de la interfaz de usuario de la herramienta de instalación TYPO3. Esto permitió a los atacantes utilizar el valor para generar hashes criptográficos utilizados para verificar la autenticidad de los parámetros de solicitud HTTP. Para explotar esta vulnerabilidad se requiere una cuenta de usuario backend de nivel de administrador con permisos de fabricante del sistema. Se recomienda a los usuarios actualizar a las versiones 8.7.57 ELTS, 9.5.46 ELTS, 10.4.43 ELTS, 11.5.35 LTS, 12.4.11 LTS, 13.0.1 de TYPO3 que solucionan el problema descrito. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2024

Vulnerabilidad en TYPO3 (CVE-2024-25120)
Fecha de publicación:
13/02/2024
Idioma:
Español
TYPO3 es un sistema de gestión de contenido web basado en PHP de código abierto publicado bajo GNU GPL. El esquema de URI `t3://` específico de TYPO3 podría usarse para acceder a recursos fuera del alcance del permiso de los usuarios. Esto abarcaba archivos, carpetas, páginas y registros (aunque sólo si se proporcionaba una configuración válida de manejo de enlaces). Para explotar esta vulnerabilidad se requiere una cuenta de usuario backend válida. Se recomienda a los usuarios actualizar a las versiones 8.7.57 ELTS, 9.5.46 ELTS, 10.4.43 ELTS, 11.5.35 LTS, 12.4.11 LTS, 13.0.1 de TYPO3 que solucionan el problema descrito. No se conocen workarounds para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/10/2024

Vulnerabilidad en Grafana Labs (CVE-2023-6152)
Fecha de publicación:
13/02/2024
Idioma:
Español
Un usuario que cambia su correo electrónico después de registrarse y verificarlo puede cambiarlo sin verificación en la configuración del perfil. La opción de configuración "verify_email_enabled" solo validará el correo electrónico al registrarse.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/02/2025

Vulnerabilidad en Sourcecodester School Task Manager 1.0 (CVE-2024-24142)
Fecha de publicación:
13/02/2024
Idioma:
Español
Sourcecodester School Task Manager 1.0 permite la inyección SQL a través del parámetro 'subjet'.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/05/2025

Vulnerabilidad en Advanced Micro Devices (CVE-2023-20579)
Fecha de publicación:
13/02/2024
Idioma:
Español
Un control de acceso inadecuado en la función de protección AMD SPI puede permitir que un usuario con acceso privilegiado Ring0 (modo kernel) evite las protecciones, lo que podría provocar una pérdida de integridad y disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2025

Vulnerabilidad en Advanced Micro Devices (CVE-2023-20587)
Fecha de publicación:
13/02/2024
Idioma:
Español
Un control de acceso inadecuado en el modo de administración del sistema (SMM) puede permitir que un atacante acceda a la memoria flash SPI, lo que podría provocar la ejecución de código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025
Suscribirse a Vulnerabilidades