Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PHPGurukul Maid Hiring Management System 1.0 (CVE-2024-13015)

Fecha de publicación:
29/12/2024
Idioma:
Español
Se encontró una vulnerabilidad en PHPGurukul Maid Hiring Management System 1.0 y se clasificó como problemática. Este problema afecta a algunas funciones desconocidas del archivo /admin/search-booking-request.php. La manipulación del argumento searchdata conduce a cross site scripting. El ataque puede iniciarse de forma remota.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/02/2025

Vulnerabilidad en PHPGurukul Maid Hiring Management System 1.0 (CVE-2024-13014)

Fecha de publicación:
29/12/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en PHPGurukul Maid Hiring Management System 1.0 y se ha clasificado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/search-maid.php. La manipulación del argumento searchdata conduce a una inyección SQL. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/02/2025

Vulnerabilidad en PHPGurukul Maid Hiring Management System 1.0 (CVE-2024-13013)

Fecha de publicación:
29/12/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como problemática en PHPGurukul Maid Hiring Management System 1.0. Se trata de una función desconocida del archivo /admin/contactus.php del componente Contact Us Page. La manipulación del argumento page title provoca cross site scripting. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v4.0: MEDIA
Última modificación:
18/02/2025

Vulnerabilidad en kernel de Linux (CVE-2024-56755)

Fecha de publicación:
29/12/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfs/fscache: Agregar una barrera de memoria para FSCACHE_VOLUME_CREATING En fscache_create_volume(), falta una barrera de memoria entre la operación de desinfección de bits y la operación de activación. Esto puede provocar una situación en la que, después de una activación, la operación de desinfección de bits aún no se haya detectado, lo que lleva a una espera indefinida. El proceso de activación es el siguiente: [cookie1] [cookie2] [volume_work] fscache_perform_lookup fscache_create_volume fscache_perform_lookup fscache_create_volume fscache_create_volume_work cachefiles_acquire_volume clear_and_wake_up_bit test_and_set_bit test_and_set_bit goto maybe_wait goto no_wait En el proceso anterior, cookie1 y cookie2 tienen el mismo volumen. Cuando cookie1 ingresa al proceso -no_wait-, borrará el bit y activará el proceso en espera. Si falta una barrera, puede provocar que cookie2 permanezca en el proceso -wait- indefinidamente. En el commit 3288666c7256 ("fscache: Use clear_and_wake_up_bit() in fscache_create_volume_work()"), se agregaron barreras a operaciones similares en fscache_create_volume_work(), pero se omitió fscache_create_volume(). Al combinar las operaciones clear y wake en clear_and_wake_up_bit() se solucionó este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/01/2025

Vulnerabilidad en kernel de Linux (CVE-2024-56756)

Fecha de publicación:
29/12/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvme-pci: se corrige la liberación de la tabla de descriptores HMB La tabla de descriptores HMB tiene un tamaño que coincide con el número máximo de descriptores que se pueden usar para un dispositivo determinado, pero __nvme_alloc_host_mem podría salir del bucle antes en caso de fallo en la asignación de memoria y terminar usando menos descriptores de lo planeado, lo que lleva a que se pase un tamaño incorrecto a dma_free_coherent. En la práctica, esto no se mostraba porque el número de descriptores tiende a ser bajo y el asignador coherente dma siempre asigna y libera al menos una página.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/01/2025

Vulnerabilidad en kernel de Linux (CVE-2024-56750)

Fecha de publicación:
29/12/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: erofs: corrige blksize < PAGE_SIZE para montajes respaldados por archivos Ajuste sb->s_blocksize{,_bits} directamente para montajes respaldados por archivos cuando el tamaño de bloque fs es menor que PAGE_SIZE. Anteriormente, EROFS usaba sb_set_blocksize(), que causaba un pánico si no se usaban montajes respaldados por bdev.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/01/2025

Vulnerabilidad en kernel de Linux (CVE-2024-56749)

Fecha de publicación:
29/12/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dlm: se corrige el recuento de referencias de dlm_recover_members en caso de error. Si dlm_recover_members() falla, no eliminamos las referencias de la lista raíz creada anteriormente que contiene y mantenemos todos los rsbs activos durante la recuperación. Puede que no sea un evento improbable porque ping_members() podría encontrarse con un -EINTR si se activa nuevamente otro progreso de recuperación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/01/2025

Vulnerabilidad en kernel de Linux (CVE-2024-56752)

Fecha de publicación:
29/12/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/nouveau/gr/gf100: Se corrige el desbloqueo faltante en gf100_gr_chan_new() Cuando falla la llamada a gf100_grctx_generate(), desbloquea gr->fecs.mutex antes de devolver el error. Corrige la advertencia smatch: drivers/gpu/drm/nouveau/nvkm/engine/gr/gf100.c:480 Advertencia gf100_gr_chan_new(): inconsistente devuelve '&gr->fecs.mutex'.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/01/2025

Vulnerabilidad en kernel de Linux (CVE-2024-56753)

Fecha de publicación:
29/12/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu/gfx9: Agregar desinicialización del sombreador más limpio en el módulo gfx_v9_0 Esta confirmación aborda una omisión en el parche anterior relacionado con la compatibilidad del sombreador más limpio con el hardware GFX9. Específicamente, agrega el código de desinicialización necesario para el sombreador más limpio en la función gfx_v9_0_sw_fini. La línea agregada amdgpu_gfx_cleaner_shader_sw_fini(adev); garantiza que todos los recursos asignados para el sombreador más limpio se liberen correctamente, lo que evita posibles fugas de memoria y garantiza que el estado de la GPU esté limpio para la siguiente secuencia de inicialización.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/01/2025

Vulnerabilidad en kernel de Linux (CVE-2024-56754)

Fecha de publicación:
29/12/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: crypto: caam - Corrige el puntero pasado a caam_qi_shutdown() El tipo del último parámetro dado a devm_add_action_or_reset() es "struct caam_drv_private *", pero en caam_qi_shutdown(), se convierte a "struct device *". Pasa el parámetro correcto a devm_add_action_or_reset() para que los recursos se liberen como se espera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/01/2025

Vulnerabilidad en kernel de Linux (CVE-2024-56747)

Fecha de publicación:
29/12/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: qedi: Se corrige una posible pérdida de memoria en qedi_alloc_and_init_sb(). El gancho "qedi_ops->common->sb_init = qed_sb_init" no libera la memoria DMA sb_virt cuando falla. Agregue dma_free_coherent() para liberarla. Esta es la misma forma que qedr_alloc_mem_sb() y qede_alloc_mem_sb().
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2025

Vulnerabilidad en kernel de Linux (CVE-2024-56746)

Fecha de publicación:
29/12/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fbdev: sh7760fb: Se solucionó una posible pérdida de memoria en sh7760fb_alloc_mem(). Cuando la información como info->screen_base no está lista, llamar a sh7760fb_free_mem() no libera la memoria correctamente. En su lugar, llame a dma_free_coherent().
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2025