Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Regify Regipay Client para Windows (CVE-2023-51711)
Fecha de publicación:
24/01/2024
Idioma:
Español
Se descubrió un problema en Regify Regipay Client para Windows versión 4.5.1.0 que permite el secuestro de DLL: un usuario puede desencadenar la ejecución de código arbitrario cada vez que se ejecuta el producto.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/05/2025

Vulnerabilidad en Coign CRM Portal v.06.06 (CVE-2023-43317)
Fecha de publicación:
24/01/2024
Idioma:
Español
Un problema en Coign CRM Portal v.06.06 permite a un atacante remoto escalar privilegios a través del parámetro userPermissionsList en el componente Session Storage.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/06/2025

Vulnerabilidad en ELECOM (CVE-2024-22372)
Fecha de publicación:
24/01/2024
Idioma:
Español
La vulnerabilidad de inyección de comandos del sistema operativo en los routers LAN inalámbricos ELECOM permite que un atacante adyacente a la red con privilegios administrativos ejecute comandos arbitrarios del sistema operativo enviando una solicitud especialmente manipulada al producto. Los productos y versiones afectados son los siguientes: WRC-X1800GS-B v1.17 y anteriores, WRC-X1800GSA-B v1.17 y anteriores, WRC-X1800GSH-B v1.17 y anteriores, WRC-X6000XS-G v1.09, y WRC-X6000XST-G v1.12 y anteriores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2025

Vulnerabilidad en Yamaha (CVE-2024-22366)
Fecha de publicación:
24/01/2024
Idioma:
Español
Existe un código de depuración activo en los dispositivos de punto de acceso a LAN inalámbrica de Yamaha. Si un usuario que ha iniciado sesión y sabe cómo utilizar la función de depuración accede a la página de administración del dispositivo, esta función se puede habilitar realizando operaciones específicas. Como resultado, se puede ejecutar un comando arbitrario del sistema operativo y/o se pueden alterar los ajustes de configuración del dispositivo. Los productos y versiones afectados son los siguientes: firmware WLX222 Rev.24.00.03 y anteriores, firmware WLX413 Rev.22.00.05 y anteriores, firmware WLX212 Rev.21.00.12 y anteriores, firmware WLX313 Rev.18.00.12 y anteriores, y WLX202 firmware Rev.16.00.18 y anteriores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2025

Vulnerabilidad en NVIDIA Bluefield 2 y Bluefield 3 DPU BMC (CVE-2023-31037)
Fecha de publicación:
24/01/2024
Idioma:
Español
NVIDIA Bluefield 2 y Bluefield 3 DPU BMC contienen una vulnerabilidad en ipmitool, donde un usuario root puede provocar la inyección de código mediante una llamada de red. Una explotación exitosa de esta vulnerabilidad puede provocar la ejecución de código en el sistema operativo.
Gravedad CVSS v3.1: ALTA
Última modificación:
31/01/2024

Vulnerabilidad en Electronic Delivery Check System (CVE-2024-21765)
Fecha de publicación:
24/01/2024
Idioma:
Español
Electronic Delivery Check System (Doboku) versión 18.1.0 y anterior,<br /> Electronic Delivery Check System (Dentsu) versión 12.1.0 y anterior,<br /> Electronic Delivery Check System (Kikai) versión 10.1.0 y anterior, y<br /> Electronic delivery item Inspection Support SystemVer.4.0.31 y anteriores,<br /> restringen incorrectamente las referencias de entidades externas XML (XXE). Al procesar un archivo XML especialmente manipulado, un atacante puede leer archivos arbitrarios del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2025

Vulnerabilidad en Electronic Deliverables Creation Support Tool (CVE-2024-21796)
Fecha de publicación:
24/01/2024
Idioma:
Español
Electronic Deliverables Creation Support Tool (Construction Edition) anterior a la versión 1.0.4 y Electronic Deliverables Creation Support Tool (Design &amp;amp; Survey Edition) anterior a la versión 1.0.4 restringen incorrectamente las referencias de entidades externas XML (XXE). Al procesar un archivo XML especialmente manipulado, un atacante puede leer archivos arbitrarios del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2024

Vulnerabilidad en Electronic Delivery Check System (CVE-2024-22380)
Fecha de publicación:
24/01/2024
Idioma:
Español
Electronic Delivery Check System (Ministry of Agriculture, Forestry and Fisheries The Agriculture and Rural Development Project Version) March, Heisei 31 era edition Ver.14.0.001.002 y anteriores, restringe indebidamente las referencias de entidades externas XML (XXE). Al procesar un archivo XML especialmente manipulado, un atacante puede leer archivos arbitrarios del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/06/2025

Vulnerabilidad en Pipewire-pulse en snap de Ubuntu (CVE-2022-4964)
Fecha de publicación:
24/01/2024
Idioma:
Español
Pipewire-pulse en snap de Ubuntu otorga acceso al micrófono incluso cuando la interfaz snap para grabación de audio no está configurada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2025

Vulnerabilidad en Autocompletar en Google Chrome (CVE-2024-0809)
Fecha de publicación:
24/01/2024
Idioma:
Español
La implementación inapropiada de Autocompletar en Google Chrome anterior a 121.0.6167.85 permitió a un atacante remoto evitar las restricciones de Autocompletar a través de una página HTML manipulada. (Severidad de seguridad de Chrome: baja)
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/05/2025

Vulnerabilidad en DevTools en Google Chrome (CVE-2024-0810)
Fecha de publicación:
24/01/2024
Idioma:
Español
La aplicación insuficiente de políticas en DevTools en Google Chrome antes de 121.0.6167.85 permitió a un atacante que convenció a un usuario de instalar una extensión maliciosa para filtrar datos de orígenes cruzados a través de una extensión de Chrome manipulada. (Severidad de seguridad de Chromium: media)
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2025

Vulnerabilidad en Extensions API en Google Chrome (CVE-2024-0811)
Fecha de publicación:
24/01/2024
Idioma:
Español
La implementación inadecuada en Extensions API en Google Chrome anterior a 121.0.6167.85 permitió a un atacante que convenció a un usuario de instalar una extensión maliciosa para filtrar datos de orígenes cruzados a través de una extensión de Chrome manipulada. (Severidad de seguridad de Chrome: baja)
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2025
Suscribirse a Vulnerabilidades