Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ZF Roll Stability Support Plus (CVE-2024-12054)
Fecha de publicación:
13/02/2025
Idioma:
Español
ZF Roll Stability Support Plus (RSSPlus) es vulnerable a una vulnerabilidad de omisión de autenticación que afecta a las semillas de servicio deterministas RSSPlus SecurityAccess, lo que puede permitir que un atacante llame de forma remota (proximal/adyacente con equipo de RF o a través de pivote desde dispositivos telemáticos J2497) a funciones de diagnóstico destinadas a escenarios de taller o reparación. Esto puede afectar la disponibilidad del sistema, degradando potencialmente el rendimiento o borrando el software, sin embargo, el vehículo permanece en un estado seguro.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/02/2025

Vulnerabilidad en Mercedes Benz NTG 6 (CVE-2023-34406)
Fecha de publicación:
13/02/2025
Idioma:
Español
Se descubrió un problema en Mercedes Benz NTG 6. Existe un posible desbordamiento de números enteros en la función de importación/exportación de datos de usuario de las unidades principales NTG (Nueva Generación Telemática) 6. Para realizar este ataque, se necesita acceso local a la interfaz USB del automóvil. Con los datos preparados, un atacante puede provocar que el servicio de datos de usuario falle. La instancia de servicio fallida se reiniciará automáticamente.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/06/2025

Vulnerabilidad en Mercedes-Benz (CVE-2023-34404)
Fecha de publicación:
13/02/2025
Idioma:
Español
La unidad principal NTG6 de Mercedes-Benz tiene pines Ethernet en la placa base para conectar el módulo CSB. Un atacante puede conectarse a estos pines y obtener acceso a la red interna. Como resultado, al acceder a un puerto específico, un atacante puede enviar una solicitud de llamada a todos los servicios registrados en el enrutador y lograr una vulnerabilidad de inyección de comandos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2025

Vulnerabilidad en Mercedes-Benz (CVE-2023-34403)
Fecha de publicación:
13/02/2025
Idioma:
Español
La unidad principal NTG6 de Mercedes-Benz tiene pines Ethernet en la placa base para conectar el módulo CSB. Un atacante puede conectarse a estos pines y obtener acceso a la red interna. Se puede adquirir una condición de ejecución y el atacante puede falsificar “UserData” con la ruta de archivo deseada y acceder a ella a través de una copia de seguridad en USB.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2025

Vulnerabilidad en Mercedes-Benz (CVE-2023-34402)
Fecha de publicación:
13/02/2025
Idioma:
Español
La unidad principal NTG6 de Mercedes-Benz contiene funciones para importar o exportar configuraciones de perfil a través de USB. Dentro del archivo se encapsula otro archivo, que el servicio descartará durante el procesamiento. Debido a las comprobaciones omitidas, el atacante puede lograr una escritura arbitraria de archivo con derechos de voz del servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/06/2025

Vulnerabilidad en Mercedes-Benz (CVE-2023-34401)
Fecha de publicación:
13/02/2025
Idioma:
Español
La unidad principal NTG6 de Mercedes-Benz contiene funciones para importar o exportar configuraciones de perfil a través de USB. Dentro de la carpeta de perfil hay un archivo codificado con el códec propietario UD2. Debido a que no se realizan comprobaciones de tamaño en el archivo encapsulado, el atacante puede lograr una lectura fuera de los límites en la memoria del montón.
Gravedad CVSS v3.1: BAJA
Última modificación:
27/06/2025

Vulnerabilidad en Zulip (CVE-2025-25195)
Fecha de publicación:
13/02/2025
Idioma:
Español
Zulip es una aplicación de chat en equipo de código abierto. Un trabajo cron semanal (agregado en 50256f48314250978f521ef439cafa704e056539) degrada los canales a "inactivos" después de que no hayan recibido tráfico durante 180 días. Sin embargo, al hacerlo, se envió un evento a todos los usuarios de la organización, no solo a los usuarios del canal. Este evento contenía el nombre del canal privado. De manera similar, el mismo commit (50256f48314250978f521ef439cafa704e056539) agregó una funcionalidad para notificar a los clientes cuando los canales dejaron de estar "inactivos". El primer mensaje enviado a un canal privado que no había tenido ningún mensaje previamente durante más de 180 días (y, por lo tanto, ya estaba marcado como "inactivo") filtraría un evento a todos los usuarios de la organización; este evento también contenía el nombre del canal privado. Los commits 75be449d456d29fef27e9d1828bafa30174284b4 y a2a1a7f8d152296c8966f1380872c0ac69e5c87e solucionaron el problema. Esta vulnerabilidad solo existía en `main` y no formaba parte de ninguna versión publicada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2025

Vulnerabilidad en Mojave Inverter (CVE-2025-26473)
Fecha de publicación:
13/02/2025
Idioma:
Español
Mojave Inverter utiliza el método GET para información confidencial.
Gravedad CVSS v4.0: ALTA
Última modificación:
19/03/2025

Vulnerabilidad en Outback Power (CVE-2025-25281)
Fecha de publicación:
13/02/2025
Idioma:
Español
Un atacante puede modificar la URL para descubrir información confidencial sobre la red objetivo.
Gravedad CVSS v4.0: ALTA
Última modificación:
10/04/2025

Vulnerabilidad en Qardio (CVE-2025-23421)
Fecha de publicación:
13/02/2025
Idioma:
Español
Un atacante podría obtener archivos de firmware y realizar ingeniería inversa para su uso previsto, lo que provocaría la pérdida de confidencialidad e integridad de los dispositivos de hardware habilitados por las aplicaciones Qardio para iOS y Android.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/02/2025

Vulnerabilidad en Python (CVE-2025-24836)
Fecha de publicación:
13/02/2025
Idioma:
Español
Con un script de Python especialmente manipulado, un atacante podría enviar comandos startMeasurement continuos a través de una conexión Bluetooth no cifrada al dispositivo afectado. Esto evitaría que el dispositivo se conecte a la aplicación de un médico para tomar lecturas del paciente y, aparentemente, lo inundaría con solicitudes, lo que daría como resultado una condición de denegación de servicio.
Gravedad CVSS v4.0: MEDIA
Última modificación:
13/02/2025

Vulnerabilidad en mySCADA myPRO Manager (CVE-2025-24865)
Fecha de publicación:
13/02/2025
Idioma:
Español
Se puede acceder a la interfaz web administrativa de mySCADA myPRO Manager sin autenticación, lo que podría permitir que un atacante no autorizado recupere información confidencial y cargue archivos sin la contraseña asociada.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
04/03/2025
Suscribirse a Vulnerabilidades