Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en NVIDIA GPU Display Driver (CVE-2024-0107)
Fecha de publicación:
08/08/2024
Idioma:
Español
NVIDIA GPU Display Driver para Windows contiene una vulnerabilidad en la capa de modo de usuario, donde un usuario normal sin privilegios puede provocar una lectura fuera de los límites. Una explotación exitosa de esta vulnerabilidad podría provocar la ejecución de código, denegación de servicio, escalada de privilegios, divulgación de información y manipulación de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en NVIDIA Mellanox OS, ONYX, Skyway, MetroX-2 y MetroX-3 XC (CVE-2024-0101)
Fecha de publicación:
08/08/2024
Idioma:
Español
NVIDIA Mellanox OS, ONYX, Skyway, MetroX-2 y MetroX-3 XC contienen una vulnerabilidad en ipfilter, donde definiciones incorrectas de ipfilter podrían permitir que un atacante cause una falla al atacar el conmutador. Una explotación exitosa de esta vulnerabilidad podría provocar una denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/12/2024

Vulnerabilidad en Kashipara Responsive School Management System v1.0 (CVE-2024-41238)
Fecha de publicación:
08/08/2024
Idioma:
Español
Una vulnerabilidad de inyección SQL en /smsa/student_login.php en Kashipara Responsive School Management System v1.0 permite a un atacante ejecutar comandos SQL arbitrarios a través del parámetro "nombre de usuario".
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2024

Vulnerabilidad en Avaya Aura System Manager (CVE-2024-7477)
Fecha de publicación:
08/08/2024
Idioma:
Español
Se encontró una vulnerabilidad de inyección SQL que podría permitir que un usuario de interfaz de línea de comandos (CLI) con privilegios administrativos ejecute consultas arbitrarias en la base de datos de Avaya Aura System Manager. Las versiones afectadas incluyen 10.1.xx y 10.2.xx. Las versiones anteriores a 10.1 finalizan el soporte del fabricante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/09/2024

Vulnerabilidad en Avaya Aura System Manager (CVE-2024-7480)
Fecha de publicación:
08/08/2024
Idioma:
Español
Se encontró una vulnerabilidad de control de acceso inadecuado en Avaya Aura System Manager que podría permitir a un usuario de interfaz de línea de comandos (CLI) con privilegios administrativos leer archivos arbitrarios en el sistema. Las versiones afectadas incluyen 10.1.xx y 10.2.xx. Las versiones anteriores a 10.1 finalizan el soporte del fabricante.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2025

Vulnerabilidad en Microchip Techology Advanced Software Framework (CVE-2024-7490)
Fecha de publicación:
08/08/2024
Idioma:
Español
Una vulnerabilidad de validación de entrada incorrecta en el servidor DHCP de ejemplo de Microchip Techology Advanced Software Framework puede provocar la ejecución remota de código a través de un desbordamiento del búfer. Esta vulnerabilidad está asociada con los archivos de programa tinydhcpserver.C y las rutinas de programa lwip_dhcp_find_option. Este problema afecta a Advanced Software Framework: hasta 3.52.0.2574. La PPA ya no recibe apoyo. Aplique workaround proporcionado o migre a un framework fabricado activamente.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
29/09/2025

Vulnerabilidad en Shopware (CVE-2024-42355)
Fecha de publicación:
08/08/2024
Idioma:
Español
Shopware, una plataforma de comercio electrónico abierta, tiene una nueva etiqueta Twig `sw_silent_feature_call` que silencia los mensajes de obsolescencia mientras se activa en esta etiqueta. Antes de las versiones 6.6.5.1 y 6.5.8.13, acepta como parámetro una cadena el nombre del indicador de característica a silenciar, pero este parámetro no tiene escape correctamente y permite la ejecución de código. Actualice a Shopware 6.6.5.1 o 6.5.8.13 para recibir un parche. Para las versiones anteriores 6.2, 6.3 y 6.4 también están disponibles las medidas de seguridad correspondientes a través de un complemento.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/08/2024

Vulnerabilidad en Shopware (CVE-2024-42356)
Fecha de publicación:
08/08/2024
Idioma:
Español
Shopware es una plataforma de comercio abierta. Antes de las versiones 6.6.5.1 y 6.5.8.13, la variable `context` se inyecta en casi cualquier plantilla Twig y permite acceder al idioma actual y a la información de moneda. El objeto de contexto también permite cambiar durante un breve período el alcance del Contexto como ayuda con una función invocable. La función también se puede llamar desde Twig y como el segundo parámetro permite cualquier función invocable, es posible llamar desde Twig cualquier función/método PHP estáticamente invocable. Como cliente, no es posible proporcionar ningún código Twig; el atacante necesitaría acceso a la Administración para explotarlo utilizando plantillas de correo o App Scripts. Actualice a Shopware 6.6.5.1 o 6.5.8.13 para recibir un parche. Para versiones anteriores de 6.1, 6.2, 6.3 y 6.4, las medidas de seguridad correspondientes también están disponibles a través de un complemento.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2024

Vulnerabilidad en Shopware (CVE-2024-42357)
Fecha de publicación:
08/08/2024
Idioma:
Español
Shopware es una plataforma de comercio abierta. Antes de las versiones 6.6.5.1 y 6.5.8.13, la API de la aplicación Shopware contiene una función de búsqueda que permite a los usuarios buscar información almacenada en su instancia de Shopware. Las búsquedas realizadas por esta función se pueden agregar utilizando los parámetros en el objeto "agregaciones". El campo `nombre` en este objeto `agregaciones` es vulnerable a la inyección de SQL y puede explotarse utilizando parámetros SQL. Actualice a Shopware 6.6.5.1 o 6.5.8.13 para recibir un parche. Para versiones anteriores de 6.1, 6.2, 6.3 y 6.4, las medidas de seguridad correspondientes también están disponibles a través de un complemento.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/08/2024

Vulnerabilidad en JupyterHub (CVE-2024-41942)
Fecha de publicación:
08/08/2024
Idioma:
Español
JupyterHub es un software que permite crear un servidor multiusuario para portátiles Jupyter. Antes de las versiones 4.1.6 y 5.1.0, si a un usuario se le otorgaba el alcance `admin:users`, podía escalar sus propios privilegios convirtiéndose en un usuario administrador completo. El impacto es relativamente pequeño en el sentido de que "admin:users" ya es un ámbito extremadamente privilegiado que solo se otorga a usuarios confiables. En efecto, `admin:users` es equivalente a `admin=True`, lo cual no es lo previsto. Tenga en cuenta que el cambio aquí solo evita la escalada al rol de administrador integrado de JupyterHub que tiene permisos sin restricciones. No impide que los usuarios con, por ejemplo, permisos de "grupos" se otorguen permisos a sí mismos o a otros usuarios a través de la membresía en un grupo, lo cual es intencional. Las versiones 4.1.6 y 5.1.0 solucionan este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2024

Vulnerabilidad en Shopware (CVE-2024-42354)
Fecha de publicación:
08/08/2024
Idioma:
Español
Shopware es una plataforma de comercio abierta. La API de la tienda funciona con entidades normales y no expone todos los campos para la API pública; Los campos deben marcarse como ApiAware en EntityDefinition. Por lo tanto, solo los campos ApiAware de EntityDefinition se codificarán en el JSON final. Antes de las versiones 6.6.5.1 y 6.5.8.13, el procesamiento de los Criterios no consideraba las asociaciones ManyToMany por lo que no se consideraban adecuadamente y no se utilizaban las protecciones. Shopware no puede reproducir este problema con las entidades predeterminadas, pero puede activarse con extensiones. Actualice a Shopware 6.6.5.1 o 6.5.8.13 para recibir un parche. Para las versiones anteriores 6.2, 6.3 y 6.4 también están disponibles las medidas de seguridad correspondientes a través de un complemento.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2024

Vulnerabilidad en PostgreSQL (CVE-2024-7348)
Fecha de publicación:
08/08/2024
Idioma:
Español
La condición de ejecución de tiempo de verificación de tiempo de uso (TOCTOU) en pg_dump en PostgreSQL permite a un creador de objetos ejecutar funciones SQL arbitrarias como el usuario que ejecuta pg_dump, que a menudo es un superusuario. El ataque implica reemplazar otro tipo de relación con una vista o tabla externa. El ataque requiere esperar a que se inicie pg_dump, pero ganar la condición de ejecución es trivial si el atacante retiene una transacción abierta. Las versiones anteriores a PostgreSQL 16.4, 15.8, 14.13, 13.16 y 12.20 se ven afectadas.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2024
Suscribirse a Vulnerabilidades