Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en scrapy (CVE-2024-3574)
Fecha de publicación:
16/04/2024
Idioma:
Español
En la versión 2.10.1 de scrapy, se identificó un problema por el cual el encabezado de Autorización, que contiene las credenciales para la autenticación del servidor, se filtra a un sitio de terceros durante una redirección entre dominios. Esta vulnerabilidad surge de no eliminar el encabezado de Autorización al redireccionar entre dominios. La exposición del encabezado de Autorización a actores no autorizados podría permitir el secuestro de cuentas.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/07/2025

Vulnerabilidad en zenml-io/zenml (CVE-2024-2083)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de directory traversal en el repositorio zenml-io/zenml, específicamente dentro del endpoint /api/v1/steps. Los atacantes pueden aprovechar esta vulnerabilidad manipulando la ruta URI de los 'registros' en la solicitud para recuperar contenido de archivo arbitrario, evitando las restricciones de acceso previstas. La vulnerabilidad surge debido a la falta de validación de los patrones de directory traversal, lo que permite a los atacantes acceder a archivos fuera del directorio restringido.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/05/2025

Vulnerabilidad en zenml-io/zenml (CVE-2024-2260)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de reparación de sesión en la aplicación zenml-io/zenml, donde los tokens JWT utilizados para la autenticación del usuario no se invalidan al cerrar sesión. Esta falla permite a un atacante eludir los mecanismos de autenticación reutilizando el token JWT de la víctima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/06/2025

Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-3028)
Fecha de publicación:
16/04/2024
Idioma:
Español
mintplex-labs/anything-llm es vulnerable a una validación de entrada incorrecta, lo que permite a los atacantes leer y eliminar archivos arbitrarios en el servidor. Al manipular el parámetro 'logo_filename' en el endpoint API 'system-preferences', un atacante puede crear solicitudes para leer archivos confidenciales o el archivo '.env' de la aplicación, e incluso eliminar archivos configurando 'logo_filename' en la ruta del archivo de destino e invocando el endpoint API 'remove-logo'. Esta vulnerabilidad se debe a la falta de una sanitización adecuada de los datos proporcionados por el usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2025

Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-3029)
Fecha de publicación:
16/04/2024
Idioma:
Español
En mintplex-labs/anything-llm, un atacante puede aprovechar la validación de entrada incorrecta enviando un payload JSON con formato incorrecto al endpoint '/system/enable-multi-user'. Esto desencadena un error que es detectado por un bloque catch, que a su vez elimina a todos los usuarios y desactiva el 'multi_user_mode'. La vulnerabilidad permite a un atacante eliminar a todos los usuarios existentes y potencialmente crear un nuevo usuario administrador sin requerir una contraseña, lo que genera acceso y control no autorizados sobre la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2025

Vulnerabilidad en BentoML (CVE-2024-2912)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de deserialización insegura en el framework BentoML, que permite la ejecución remota de código (RCE) mediante el envío de una solicitud POST especialmente manipulada. Al explotar esta vulnerabilidad, los atacantes pueden ejecutar comandos arbitrarios en el servidor que aloja la aplicación BentoML. La vulnerabilidad se activa cuando un objeto serializado, manipulado para ejecutar comandos del sistema operativo tras la deserialización, se envía a cualquier endpoint válido de BentoML. Este problema plantea un riesgo de seguridad importante, ya que permite a los atacantes comprometer el servidor y potencialmente obtener acceso o control no autorizados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en JNT Telecom JNT Liftcom UMS V1.J Core Version JM-V15 (CVE-2024-30567)
Fecha de publicación:
16/04/2024
Idioma:
Español
Un problema en JNT Telecom JNT Liftcom UMS V1.J Core Version JM-V15 permite a un atacante remoto ejecutar código arbitrario a través de la funcionalidad de solución de problemas de red.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en lunary-ai/lunary (CVE-2024-1665)
Fecha de publicación:
16/04/2024
Idioma:
Español
lunary-ai/lunary versión 1.0.0 es vulnerable a la creación de evaluaciones no autorizadas debido a que faltan verificaciones del lado del servidor para el estado de la cuenta de usuario durante la creación de la evaluación. Si bien la interfaz de usuario web restringe la creación de evaluaciones a cuentas pagas, el endpoint API del lado del servidor '/v1/evaluations' no verifica si el usuario tiene una cuenta paga, lo que permite a los usuarios con cuentas gratuitas o autohospedadas crear evaluaciones ilimitadas sin actualizar su cuenta. Esta vulnerabilidad se debe a la falta de validación del estado de la cuenta en el proceso de creación de la evaluación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/06/2024

Vulnerabilidad en lunary-ai/lunary (CVE-2024-1666)
Fecha de publicación:
16/04/2024
Idioma:
Español
En lunary-ai/lunary versión 1.0.0, existe una falla de autorización que permite la creación de radares no autorizados. La vulnerabilidad surge de la falta de comprobaciones del lado del servidor para verificar si un usuario tiene una cuenta gratuita durante el proceso de creación del radar, que sólo se aplica en la interfaz de usuario web. Como resultado, los atacantes pueden eludir el requisito de actualización de cuenta previsto enviando directamente solicitudes manipuladas al servidor, lo que permite la creación de una cantidad ilimitada de radares sin pago.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2025

Vulnerabilidad en lunary-ai/lunary (CVE-2024-1738)
Fecha de publicación:
16/04/2024
Idioma:
Español
Existe una vulnerabilidad de autorización incorrecta en el repositorio lunary-ai/lunary, específicamente dentro de la ruta evaluations.get en el endpoint de la API de evaluaciones. Esta vulnerabilidad permite a usuarios no autorizados recuperar los resultados de la evaluación de cualquier organización simplemente conociendo el ID de la evaluación, debido a la falta de verificación del ID del proyecto en la consulta SQL. Como resultado, los atacantes pueden obtener acceso a datos potencialmente privados contenidos en los resultados de la evaluación.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/01/2025

Vulnerabilidad en lunary-ai/lunary (CVE-2024-1739)
Fecha de publicación:
16/04/2024
Idioma:
Español
lunary-ai/lunary es vulnerable a un problema de autenticación debido a una validación incorrecta de las direcciones de correo electrónico durante el proceso de registro. Específicamente, el servidor no trata las direcciones de correo electrónico sin distinguir entre mayúsculas y minúsculas, lo que permite la creación de varias cuentas con la misma dirección de correo electrónico variando las mayúsculas y minúsculas de los caracteres del correo electrónico. Por ejemplo, se pueden crear cuentas para 'abc@gmail.com' y 'Abc@gmail.com', lo que genera una posible suplantación de identidad y confusión entre los usuarios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/06/2025

Vulnerabilidad en vertaai/modeldb (CVE-2024-1961)
Fecha de publicación:
16/04/2024
Idioma:
Español
vertaai/modeldb es vulnerable a un ataque de path traversal debido a una sanitización inadecuada de las rutas de archivos proporcionadas por el usuario en su funcionalidad de carga de archivos. Los atacantes pueden aprovechar esta vulnerabilidad para escribir archivos arbitrarios en cualquier parte del sistema de archivos manipulando el parámetro 'artifact_path'. Esta falla puede provocar la ejecución remota de código (RCE) al sobrescribir archivos críticos, como el archivo de configuración de la aplicación, especialmente cuando la aplicación se ejecuta fuera de Docker. La vulnerabilidad está presente en los componentes NFSController.java y NFSService.java de la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades