Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Directus (CVE-2024-28238)
Fecha de publicación:
12/03/2024
Idioma:
Español
Directus es una API y un panel de aplicaciones en tiempo real para administrar el contenido de la base de datos SQL. Al llegar a la página /files, se pasa un JWT mediante una solicitud GET. La inclusión de tokens de sesión en las URL plantea un riesgo de seguridad ya que las URL a menudo se registran en varios lugares (por ejemplo, registros del servidor web, historial del navegador). Los atacantes que obtienen acceso a estos registros pueden secuestrar sesiones de usuarios activos, lo que lleva a un acceso no autorizado a información confidencial o acciones en nombre del usuario. Este problema se solucionó en la versión 10.10.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/01/2025

Vulnerabilidad en Directus (CVE-2024-28239)
Fecha de publicación:
12/03/2024
Idioma:
Español
Directus es una API y un panel de aplicaciones en tiempo real para administrar el contenido de la base de datos SQL. La API de autenticación tiene un parámetro "redirect" que puede explotarse como una vulnerabilidad de redireccionamiento abierto cuando el usuario intenta iniciar sesión a través de la URL de la API. Hay una redirección que se realiza después de iniciar sesión correctamente a través de la solicitud GET de Auth API a `directus/auth/login/google?redirect=http://malicious-fishing-site.com`. Si bien las credenciales no parecen pasarse al sitio del atacante, se puede hacer phishing al usuario para que haga clic en un sitio directo legítimo y ser llevado a un sitio malicioso que parece un mensaje de error "Su contraseña debe actualizarse" para phishing. sacar la contraseña actual. Los usuarios que inician sesión a través de OAuth2 en Directus pueden estar en riesgo. Este problema se solucionó en la versión 10.10.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/01/2025

Vulnerabilidad en Gacjie Server (CVE-2024-2406)
Fecha de publicación:
12/03/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en Gacjie Server hasta 1.0 y clasificada como crítica. Esto afecta el índice de función del archivo /app/admin/controller/Upload.php. La manipulación del archivo de argumentos conduce a una carga sin restricciones. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-256503.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2025

Vulnerabilidad en Code-projects.org Scholars Tracking System 1.0 (CVE-2024-24092)
Fecha de publicación:
12/03/2024
Idioma:
Español
Vulnerabilidad de inyección SQL en Code-projects.org Scholars Tracking System 1.0 permite a atacantes ejecutar código arbitrario a través de login.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2025

Vulnerabilidad en Code-projects Scholars Tracking System 1.0 (CVE-2024-24093)
Fecha de publicación:
12/03/2024
Idioma:
Español
Vulnerabilidad de inyección SQL en Code-projects Scholars Tracking System 1.0 permite a atacantes ejecutar código arbitrario a través de información de actualización de información personal.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/04/2025

Vulnerabilidad en Code-projects Scholars Tracking System 1.0 (CVE-2024-24097)
Fecha de publicación:
12/03/2024
Idioma:
Español
Vulnerabilidad de Cross Site Scripting (XSS) en Code-projects Scholars Tracking System 1.0 permite a los atacantes ejecutar código arbitrario a través de News Feed.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/04/2025

Vulnerabilidad en aiosmtpd (CVE-2024-27305)
Fecha de publicación:
12/03/2024
Idioma:
Español
aiosmtpd es una reimplementación de Python stdlib smtpd.py basada en asyncio. aiosmtpd es vulnerable al contrabando SMTP entrante. El contrabando SMTP es una vulnerabilidad novedosa basada en diferencias de interpretación no tan novedosas del protocolo SMTP. Al explotar el contrabando SMTP, un atacante puede enviar correos electrónicos de contrabando/falsificación con direcciones de remitente falsas, lo que permite ataques de phishing avanzados. Este problema también existe en otro software SMTP como Postfix. Con la constelación de servidores SMTP adecuada, un atacante puede enviar correos electrónicos falsificados a instancias entrantes/receptoras de aiosmtpd. Este problema se solucionó en la versión 1.4.5. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2025

Vulnerabilidad en GarageBand 10.4.11 (CVE-2024-23300)
Fecha de publicación:
12/03/2024
Idioma:
Español
Se solucionó un problema de use-after-free con una gestión de memoria mejorada. Este problema se solucionó en GarageBand 10.4.11. El procesamiento de un archivo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/04/2026

Vulnerabilidad en Code-Projects Exam Form Submission 1.0 (CVE-2023-42307)
Fecha de publicación:
12/03/2024
Idioma:
Español
Vulnerabilidad de Cross Site Scripting (XSS) en Code-Projects Exam Form Submission 1.0 permite a atacantes ejecutar código arbitrario a través de la sección "Nombre del sujeto" y "Código del asunto".
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2025

Vulnerabilidad en Code-Projects Exam Form Submission 1.0 (CVE-2023-42308)
Fecha de publicación:
12/03/2024
Idioma:
Español
Vulnerabilidad de Cross Site Scripting (XSS) en Manage Fastrack Subjects in Code-Projects Exam Form Submission 1.0 permite a atacantes ejecutar código arbitrario a través de la sección "Nombre del sujeto" y "Código del asunto".
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/04/2025

Vulnerabilidad en My Food Recipe (CVE-2023-43292)
Fecha de publicación:
12/03/2024
Idioma:
Español
Vulnerabilidad de Cross Site Scripting en My Food Recipe usando PHP con código fuente v.1.0 permite a un atacante local ejecutar código arbitrario a través de un payload manipulado para el nombre de la receta, el procedimiento y los parámetros de los ingredientes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2025

Vulnerabilidad en Peering Manager (CVE-2024-28114)
Fecha de publicación:
12/03/2024
Idioma:
Español
Peering Manager es una herramienta de gestión de sesiones BGP. Existe una vulnerabilidad de inyección de plantilla del lado del servidor que conduce a la ejecución remota de código en Peering Manager <=1.8.2. Como resultado, se pueden ejecutar comandos arbitrarios en el sistema operativo que ejecuta Peering Manager. Este problema se solucionó en la versión 1.8.3. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/02/2025
Suscribirse a Vulnerabilidades