Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SourceCodester Facebook News Feed Like 1.0 (CVE-2024-1027)
Fecha de publicación:
30/01/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en SourceCodester Facebook News Feed Like 1.0 y clasificada como crítica. Una función desconocida del componente Post Handler es afectada por esta vulnerabilidad. La manipulación conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. El identificador de esta vulnerabilidad es VDB-252300.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en Hitachi Storage Plug-in para VMware vCenter (CVE-2024-21840)
Fecha de publicación:
30/01/2024
Idioma:
Español
La vulnerabilidad de permisos predeterminados incorrectos en Hitachi Storage Plug-in para VMware vCenter permite a los usuarios locales leer y escribir archivos específicos. Este problema afecta a Hitachi Storage Plug-in para VMware vCenter: desde 04.0.0 hasta 04.9.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/02/2024

Vulnerabilidad en DuckDB y DuckDB extension-template (CVE-2024-22682)
Fecha de publicación:
30/01/2024
Idioma:
Español
DuckDB <=0.9.2 y DuckDB extension-template <=0.9.2 son vulnerables a la inyección de extensiones maliciosas a través de la función de extensión personalizada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/07/2024

Vulnerabilidad en BossCMS v.1.3.0 (CVE-2024-22938)
Fecha de publicación:
30/01/2024
Idioma:
Español
La vulnerabilidad de permisos inseguros en BossCMS v.1.3.0 permite a un atacante local ejecutar código arbitrario y escalar privilegios a través de la función init en el componente admin.class.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/05/2025

Vulnerabilidad en CrateDB 5.5.1 (CVE-2023-51982)
Fecha de publicación:
30/01/2024
Idioma:
Español
CrateDB 5.5.1 contiene una vulnerabilidad de omisión de autenticación en el componente de la interfaz de usuario de administración. Después de configurar la autenticación de contraseña y_ Local_ En el caso de una dirección, la autenticación de identidad se puede omitir configurando el encabezado de solicitud de IP de X-Real en un valor específico y accediendo a la interfaz de usuario del administrador directamente utilizando la identidad de usuario predeterminada. (https://github. es/crate/crate/issues/15231)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/05/2025

Vulnerabilidad en Zyxel NAS326 y NAS542 (CVE-2023-5372)
Fecha de publicación:
30/01/2024
Idioma:
Español
La vulnerabilidad de inyección de comando posterior a la autenticación en las versiones de firmware Zyxel NAS326 hasta V5.21(AAZF.15)C0 y NAS542 hasta V5.21(ABAG.12)C0 podría permitir que un atacante autenticado con privilegios de administrador ejecute algún sistema operativo ( OS) enviando un parámetro de consulta diseñado adjunto a la URL de la interfaz de administración web de un dispositivo afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/02/2024

Vulnerabilidad en SourceCodester Facebook News Feed Like 1.0 (CVE-2024-1024)
Fecha de publicación:
30/01/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en SourceCodester Facebook News Feed Like 1.0 y clasificada como problemática. Código desconocido del componente New Account Handler es afectado por esta vulnerabilidad. La manipulación del argumento First Name/Last Name con la entrada conduce a cross site scripting. El ataque se puede iniciar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-252292.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en Cogites eReserv 7.7.58 (CVE-2024-1026)
Fecha de publicación:
30/01/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en Cogites eReserv 7.7.58 y clasificada como problemática. Este problema afecta un procesamiento desconocido del archivo front/admin/config.php. La manipulación del argumento id con la entrada %22%3E%3Cscript%3Ealert(%27XSS%27)%3C/script%3E conduce a cross site scripting. El ataque puede iniciarse de forma remota. A esta vulnerabilidad se le asignó el identificador VDB-252293.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en Softing TH SCOPE (CVE-2023-37571)
Fecha de publicación:
30/01/2024
Idioma:
Español
Softing TH SCOPE hasta 3,70 permite XSS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2025

Vulnerabilidad en Free Open-Source Inventory Management System v.1.0 (CVE-2023-51813)
Fecha de publicación:
30/01/2024
Idioma:
Español
Vulnerabilidad de Cross Site Request Forgery (CSRF) en Free Open-Source Inventory Management System v.1.0 permite a un atacante remoto ejecutar código arbitrario a través del parámetro staff_list en el componente index.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2025

Vulnerabilidad en Ylianst MeshCentral 1.1.16 (CVE-2023-51837)
Fecha de publicación:
30/01/2024
Idioma:
Español
Ylianst MeshCentral 1.1.16 es vulnerable a la falta de validación del certificado SSL.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/05/2025

Vulnerabilidad en react-dashboard 1.4.0 (CVE-2023-51843)
Fecha de publicación:
30/01/2024
Idioma:
Español
react-dashboard 1.4.0 es vulnerable a Cross Site Scripting (XSS) ya que httpOnly no está configurado.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/05/2025
Suscribirse a Vulnerabilidades