Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Contao (CVE-2024-28191)
Fecha de publicación:
09/04/2024
Idioma:
Español
Contao es un sistema de gestión de contenidos de código abierto. A partir de la versión 4.0.0 y antes de la versión 4.13.40 y 5.3.4, es posible inyectar etiquetas de inserción en formularios de interfaz si la salida está estructurada de una manera muy específica. Las versiones 4.13.40 y 5.3.4 de Contao tienen un parche para este problema. Como workaround, no genere datos de usuario desde formularios de interfaz uno al lado del otro, sepárelos siempre con al menos un carácter.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/01/2025

Vulnerabilidad en Contao (CVE-2024-28234)
Fecha de publicación:
09/04/2024
Idioma:
Español
Contao es un sistema de gestión de contenidos de código abierto. A partir de la versión 2.0.0 y anteriores a las versiones 4.13.40 y 5.3.4, es posible inyectar estilos CSS a través de BBCode en los comentarios. Las instalaciones sólo se ven afectadas si BBCode está habilitado. Las versiones 4.13.40 y 5.3.4 de Contao tienen un parche para este problema. Como workaround, desactive BBCode para comentarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/01/2025

Vulnerabilidad en webOS (CVE-2023-6317)
Fecha de publicación:
09/04/2024
Idioma:
Español
Existe una omisión rápida en el servicio secondscreen.gateway que se ejecuta en webOS versión 4 a 7. Un atacante puede crear una cuenta privilegiada sin pedirle al usuario el PIN de seguridad. Versiones completas y modelos de TV afectados: webOS 4.9.7 - 5.30.40 ejecutándose en LG43UM7000PLA webOS 5.5.0 - 04.50.51 ejecutándose en OLED55CXPUA webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 ejecutándose en OLED48C1PUB webOS 7.3. 1-43 (mullet-mebin) - 33.03.85 ejecutándose en OLED55A23LA
Gravedad CVSS v3.1: ALTA
Última modificación:
07/02/2025

Vulnerabilidad en webOS (CVE-2023-6318)
Fecha de publicación:
09/04/2024
Idioma:
Español
Existe una vulnerabilidad de inyección de comandos en el método ProcessAnalyticsReport del servicio com.webos.service.cloudupload en webOS versión 5 a 7. Una serie de solicitudes especialmente manipuladas pueden llevar a la ejecución de comandos como usuario raíz. Un atacante puede realizar solicitudes autenticadas para desencadenar esta vulnerabilidad. Versiones completas y modelos de TV afectados: * webOS 5.5.0 - 04.50.51 ejecutándose en OLED55CXPUA * webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 ejecutándose en OLED48C1PUB * webOS 7.3.1-43 (mullet-mebin) - 33.03.85 ejecutándose en OLED55A23LA
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/02/2025

Vulnerabilidad en Bitdefender (CVE-2024-2223)
Fecha de publicación:
09/04/2024
Idioma:
Español
Una vulnerabilidad de expresión regular incorrecta en Bitdefender GravityZone Update Server permite a un atacante provocar Server Side Request Forgery y reconfigurar el relé. Este problema afecta a los siguientes productos que incluyen el componente vulnerable: Bitdefender Endpoint Security para Linux versión 7.0.5.200089 Bitdefender Endpoint Security para Windows versión 7.9.9.380 GravityZone Control Center (On Premises) versión 6.36.1
Gravedad CVSS v3.1: ALTA
Última modificación:
07/02/2025

Vulnerabilidad en Bitdefender (CVE-2024-2224)
Fecha de publicación:
09/04/2024
Idioma:
Español
La vulnerabilidad de limitación inadecuada de un nombre de ruta a un directorio restringido ("Path Traversal") en el componente UpdateServer de Bitdefender GravityZone permite a un atacante ejecutar código arbitrario en instancias vulnerables. Este problema afecta a los siguientes productos que incluyen el componente vulnerable: Bitdefender Endpoint Security para Linux versión 7.0.5.200089 Bitdefender Endpoint Security para Windows versión 7.9.9.380 GravityZone Control Center (On Premises) versión 6.36.1
Gravedad CVSS v3.1: ALTA
Última modificación:
07/02/2025

Vulnerabilidad en Computer Laboratory Management System v1.0 (CVE-2024-31544)
Fecha de publicación:
09/04/2024
Idioma:
Español
Vulnerabilidad de cross-site scripting (XSS) almacenado en Computer Laboratory Management System v1.0 permite a los atacantes ejecutar código JavaScript arbitrario al incluir payloads maliciosos en los parámetros "remarks", "borrower_name", "faculty_department" en /classes/Master.php? f=save_record.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en Apache Zeppelin (CVE-2024-31863)
Fecha de publicación:
09/04/2024
Idioma:
Español
Vulnerabilidad de omisión de autenticación mediante suplantación de identidad al reemplazar notas existentes en Apache Zeppelin. Este problema afecta a Apache Zeppelin: desde 0.10.1 antes de 0.11.0. Se recomienda a los usuarios actualizar a la versión 0.11.0, que soluciona el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2025

Vulnerabilidad en Apache Zeppelin SAP (CVE-2022-47894)
Fecha de publicación:
09/04/2024
Idioma:
Español
Vulnerabilidad de validación de entrada incorrecta en Apache Zeppelin SAP. Este problema afecta a Apache Zeppelin SAP: desde 0.8.0 antes de 0.11.0. Como este proyecto está retirado, no planeamos lanzar una versión que solucione este problema. Se recomienda a los usuarios que busquen una alternativa o restrinjan el acceso a la instancia a usuarios confiables. Para obtener más información, la solución ya se fusionó en el código fuente, pero Zeppelin decidió retirar el componente SAP. NOTA: Esta vulnerabilidad solo afecta a los productos que ya no son compatibles con el fabricante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025

Vulnerabilidad en Apache Zeppelin (CVE-2024-31862)
Fecha de publicación:
09/04/2024
Idioma:
Español
Vulnerabilidad de validación de entrada incorrecta en Apache Zeppelin al crear una nueva nota desde la interfaz de usuario de Zeppelin. Este problema afecta a Apache Zeppelin: desde 0.10.1 antes de 0.11.0. Se recomienda a los usuarios actualizar a la versión 0.11.0, que soluciona el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025

Vulnerabilidad en Eclipse Kura LogServlet (CVE-2024-3046)
Fecha de publicación:
09/04/2024
Idioma:
Español
En el componente Eclipse Kura LogServlet incluido en las versiones 5.0.0 a 5.4.1, una solicitud manipulada específicamente al servlet puede permitir que un usuario no autenticado recupere los registros del dispositivo. Además, un atacante puede utilizar los registros descargados para realizar una escalada de privilegios utilizando la identificación de sesión de un usuario autenticado informado en los registros. Este problema afecta al rango de versiones org.eclipse.kura:org.eclipse.kura.web2 [2.0.600, 2.4.0], que se incluye en el rango de versiones de Eclipse Kura [5.0.0, 5.4.1].
Gravedad CVSS v3.1: ALTA
Última modificación:
06/02/2025

Vulnerabilidad en Apache Zeppelin (CVE-2021-28656)
Fecha de publicación:
09/04/2024
Idioma:
Español
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en la página de credenciales de Apache Zeppelin permite a un atacante enviar solicitudes maliciosas. Este problema afecta a Apache Zeppelin Apache Zeppelin versión 0.9.0 y versiones anteriores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025
Suscribirse a Vulnerabilidades