Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2024-50211)
Fecha de publicación:
08/11/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: udf: refactorizar inode_bmap() para controlar el error Refactorizar inode_bmap() para controlar el error, ya que udf_next_aext() ahora puede devolver un error. En situaciones como ftruncate, udf_extend_file() ahora puede detectar errores y salir antes sin recurrir a la comprobación de desplazamientos particulares y asumir el comportamiento interno de estas funciones.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/10/2025

Vulnerabilidad en Registrations for the Events Calendar de WordPress (CVE-2024-7982)
Fecha de publicación:
08/11/2024
Idioma:
Español
El complemento Registrations for the Events Calendar de WordPress anterior a la versión 2.12.4 no desinfecta ni escapa algunos parámetros al aceptar registros de eventos, lo que podría permitir a usuarios no autenticados realizar ataques de Cross-Site Scripting.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/05/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50208)
Fecha de publicación:
08/11/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/bnxt_re: Se corrige un error al configurar páginas PBL de nivel 2 Evita la corrupción de memoria al configurar páginas PBL de nivel 2 para los recursos que no son MR cuando num_pages > 256K. Habrá una única dirección de página PDE (páginas contiguas en el caso de > PAGE_SIZE), pero la lógica actual supone varias páginas, lo que genera un acceso a memoria no válido después de 256K entradas PBL en el PDE.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50209)
Fecha de publicación:
08/11/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/bnxt_re: se agrega una comprobación de asignación de memoria. __alloc_pbl() puede devolver un error cuando falla la asignación de memoria. El controlador no está comprobando el estado en una de las instancias.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50210)
Fecha de publicación:
08/11/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: posix-clock: posix-clock: Corregir bloqueo desequilibrado en pc_clock_settime() Si get_clock_desc() tiene éxito, llama a fget() para el fd del clockid y obtiene el bloqueo de lectura clk->rwsem, por lo que la ruta de error debería liberar el bloqueo para equilibrar el bloqueo y fput el fd del clockid para equilibrar el refcount y liberar el recurso relacionado con el fd. Sin embargo, la siguiente confirmación dejó la ruta de error bloqueada, lo que resultó en un bloqueo desequilibrado. Verifique timespec64_valid_strict() antes de get_clock_desc() para corregirlo, porque el "ts" no se cambia después de eso. [pabeni@redhat.com: se corrigió un error tipográfico en el mensaje de confirmación]
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2026

Vulnerabilidad en kernel de Linux (CVE-2024-50197)
Fecha de publicación:
08/11/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: intel: platform: fix error path in device_for_each_child_node() El bucle device_for_each_child_node() requiere llamadas a fwnode_handle_put() en retornos tempranos para decrementar el refcount del nodo secundario y evitar fugas de memoria si se activa esa ruta de error. Hay un retorno temprano dentro de ese bucle en intel_platform_pinctrl_prepare_community(), pero falta fwnode_handle_put(). En lugar de agregar la llamada faltante, la versión con ámbito del bucle se puede usar para simplificar el código y evitar errores en el futuro si se agregan nuevos retornos tempranos, ya que el nodo secundario solo se usa para analizar y nunca se asigna.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50203)
Fecha de publicación:
08/11/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf, arm64: Se corrige la emisión de direcciones con KASAN basado en etiquetas habilitado Cuando BPF_TRAMP_F_CALL_ORIG está habilitado, la dirección de una estructura bpf_tramp_image en la pila se pasa durante el paso de cálculo de tamaño y se pasa una dirección en el montón durante la generación de código. Esto puede causar un desbordamiento del búfer del montón si la dirección del montón está etiquetada porque emit_a64_mov_i64() emitirá un código más largo que el que emitió durante el paso de cálculo de tamaño. El mismo problema podría ocurrir sin KASAN basado en etiquetas si una de las palabras de 16 bits de la dirección de la pila fuera todo unos durante el paso de cálculo de tamaño. Solucione el problema asumiendo el peor caso (4 instrucciones) al calcular el tamaño de la emisión de la dirección bpf_tramp_image.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50204)
Fecha de publicación:
08/11/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fs: no intente eliminar un nodo rbtree vacío Al copiar un espacio de nombres, no habremos agregado la nueva copia al rbtree del espacio de nombres hasta que la copia haya tenido éxito. Al llamar a free_mnt_ns() se intentará eliminar la copia del rbtree que no es válida. Simplemente libere el esqueleto del espacio de nombres directamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50206)
Fecha de publicación:
08/11/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: ethernet: mtk_eth_soc: se corrige la corrupción de memoria durante la inicialización de fq DMA. El bucle responsable de asignar hasta búferes MTK_FQ_DMA_LENGTH solo debe tocar la cantidad de descriptores, de lo contrario, termina corrompiendo la memoria no relacionada. Corrija el recuento de iteraciones del bucle en consecuencia.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50191)
Fecha de publicación:
08/11/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ext4: no establecer SB_RDONLY después de errores del sistema de archivos Cuando el sistema de archivos se monta con errors=remount-ro, estábamos estableciendo el indicador SB_RDONLY para detener todas las modificaciones del sistema de archivos. Sabíamos que esto omite el bloqueo adecuado (sb->s_umount) y no pasa por el procedimiento de remontaje del sistema de archivos adecuado, pero ha sido la forma en que funcionó desde los primeros días de ext2 y fue lo suficientemente bueno para la mitigación de daños en situaciones catastróficas. Recientemente, syzbot encontró una forma (ver enlace) de activar advertencias en el congelamiento del sistema de archivos porque el código se confundió con SB_RDONLY cambiando bajo sus manos. Desde estos días establecemos EXT4_FLAGS_SHUTDOWN en el superbloque, lo cual es suficiente para detener todas las modificaciones del sistema de archivos, no debería ser necesario modificar SB_RDONLY. Así que deje de hacer eso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/01/2026

Vulnerabilidad en kernel de Linux (CVE-2024-50192)
Fecha de publicación:
08/11/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: irqchip/gic-v4: No permitir un VMOVP en un VPE moribundo Kunkun Jiang informó que hay una pequeña ventana de oportunidad para que el espacio de usuario fuerce un cambio de afinidad para un VPE mientras el VPE ya ha sido desasignado, pero la interrupción del timbre correspondiente aún es visible en /proc/irq/. Conecte la ejecución verificando el valor de vmapp_count, que rastrea si el VPE está asignado o no, y devuelve un error en este caso. Esto implica hacer que vmapp_count sea común tanto para GICv4.1 como para su antecesor v4.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50193)
Fecha de publicación:
08/11/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/entry_32: Borrar los búferes de la CPU después de restaurar el registro en el retorno NMI Los búferes de la CPU se borran actualmente después de la llamada a exc_nmi, pero antes de que se restaure el estado del registro. Esto puede ser adecuado para la mitigación de MDS, pero no para RDFS. Porque la mitigación de RDFS requiere que se borren los búferes de la CPU cuando los registros no tienen datos confidenciales. Mueva CLEAR_CPU_BUFFERS después de RESTORE_ALL_NMI.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025
Suscribirse a Vulnerabilidades