Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en procfile_write de drivers/misc/mediatek/connectivity/wlan/gen2/os/linux/gl_proc.c (CVE-2018-9393)
Fecha de publicación:
04/12/2024
Idioma:
Español
En procfile_write de drivers/misc/mediatek/connectivity/wlan/gen2/os/linux/gl_proc.c, existe una posible escritura OOB debido a una verificación de los límites faltante. Esto podría provocar una escalada local de privilegios con permisos de ejecución de System necesarios. No se necesita interacción del usuario para la explotación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/12/2024

Vulnerabilidad en get_binary de vendor/mediatek/proprietary/hardware/connectivity/gps/gps_hal/src/data_coder.c (CVE-2018-9392)
Fecha de publicación:
04/12/2024
Idioma:
Español
En get_binary de vendor/mediatek/proprietary/hardware/connectivity/gps/gps_hal/src/data_coder.c, existe una posible escritura fuera de los límites debido a una verificación de los límites faltante. Esto podría provocar una escalada local de privilegios con privilegios de ejecución de System necesarios. No se necesita interacción del usuario para la explotación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/12/2024

Vulnerabilidad en Itsourcecode Online Discussion Forum Project v.1.0.0 (CVE-2024-52676)
Fecha de publicación:
04/12/2024
Idioma:
Español
Itsourcecode Online Discussion Forum Project v.1.0.0 es vulnerable a Cross Site Scripting (XSS) a través de /bcc_forum/members/home.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2025

Vulnerabilidad en binux pyspider (CVE-2024-39163)
Fecha de publicación:
04/12/2024
Idioma:
Español
Se descubrió que binux pyspider hasta v0.3.10 contenía Cross-Site Request Forgery (CSRF) a través de los endpoints de Flask.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/12/2024

Vulnerabilidad en Cisco NX-OS (CVE-2024-20397)
Fecha de publicación:
04/12/2024
Idioma:
Español
Una vulnerabilidad en el cargador de arranque del software Cisco NX-OS podría permitir que un atacante no autenticado con acceso físico a un dispositivo afectado, o un atacante local autenticado con credenciales administrativas, eluda la verificación de la firma de la imagen de NX-OS. Esta vulnerabilidad se debe a una configuración insegura del cargador de arranque. Un atacante podría aprovechar esta vulnerabilidad ejecutando una serie de comandos del cargador de arranque. Una explotación exitosa podría permitir al atacante eludir la verificación de la firma de la imagen de NX-OS y cargar software no verificado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2025

Vulnerabilidad en Thinkware Cloud APK v4.3.46 (CVE-2024-53614)
Fecha de publicación:
04/12/2024
Idioma:
Español
Una clave de descifrado codificada en Thinkware Cloud APK v4.3.46 permite a los atacantes acceder a datos confidenciales y ejecutar comandos arbitrarios con privilegios elevados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2024

Vulnerabilidad en Dependency-Track (CVE-2024-54002)
Fecha de publicación:
04/12/2024
Idioma:
Español
Dependency-Track es una plataforma de análisis de componentes que permite a las organizaciones identificar y reducir los riesgos en la cadena de suministro de software. Realizar una solicitud de inicio de sesión en el punto de conexión /api/v1/user/login con un nombre de usuario que existe en el sistema lleva mucho más tiempo que realizar la misma acción con un nombre de usuario que el sistema no conoce. Los actores pueden aprovechar la diferencia observable en la duración de la solicitud para enumerar los nombres válidos de los usuarios administrados. Los usuarios de LDAP y OpenID Connect no se ven afectados. El problema se ha solucionado en Dependency-Track 4.12.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/12/2024

Vulnerabilidad en GitHub CLI (CVE-2024-54132)
Fecha de publicación:
04/12/2024
Idioma:
Español
GitHub CLI es la herramienta de línea de comandos oficial de GitHub. Se ha identificado una vulnerabilidad de seguridad en GitHub CLI que podría crear o sobrescribir archivos en directorios no deseados cuando los usuarios descargan un artefacto de flujo de trabajo de GitHub Actions malicioso a través de gh run download. Esta vulnerabilidad se origina en un artefacto de flujo de trabajo de GitHub Actions llamado .. cuando se descarga usando gh run download. El nombre del artefacto y el indicador --dir se utilizan para determinar la ruta de descarga del artefacto. Cuando el artefacto se llama .., los archivos resultantes dentro del artefacto se extraen exactamente 1 directorio más arriba que el valor del indicador --dir especificado. Esta vulnerabilidad se corrigió en 2.63.1.
Gravedad CVSS v4.0: MEDIA
Última modificación:
04/12/2024

Vulnerabilidad en Solana (CVE-2024-54134)
Fecha de publicación:
04/12/2024
Idioma:
Español
Una cuenta de acceso de publicación se vio comprometida para `@solana/web3.js`, una librería de JavaScript que se usa comúnmente en las dapps de Solana. Esto permitió a un atacante publicar paquetes no autorizados y maliciosos que fueron modificados, lo que les permitió robar material de claves privadas y drenar fondos de las dapps, como bots, que manejan claves privadas directamente. Este problema no debería afectar a las billeteras sin custodia, ya que generalmente no exponen claves privadas durante las transacciones. Este no es un problema con el protocolo Solana en sí, sino con una librería de cliente de JavaScript específica y solo parece afectar a los proyectos que manejan claves privadas directamente y que se actualizaron dentro de la ventana de las 3:20 p. m. UTC y las 8:25 p. m. UTC del martes 3 de diciembre de 2024. Estas dos versiones no autorizadas (1.95.6 y 1.95.7) fueron detectadas en cuestión de horas y desde entonces se han anulado. Todos los desarrolladores de aplicaciones de Solana deben actualizar a la versión 1.95.8. Los desarrolladores que sospechen que pueden estar comprometidos deben rotar todas las claves de autoridad sospechosas, incluidas las multifirmas, las autoridades del programa, los pares de claves del servidor, etc.
Gravedad CVSS v4.0: ALTA
Última modificación:
04/12/2024

Vulnerabilidad en Accessibility by AllAccessible para WordPress (CVE-2024-11643)
Fecha de publicación:
04/12/2024
Idioma:
Español
El complemento Accessibility by AllAccessible para WordPress es vulnerable a modificaciones no autorizadas de datos que pueden provocar una escalada de privilegios debido a una falta de verificación de capacidad en la función 'AllAccessible_save_settings' en todas las versiones hasta la 1.3.4 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, actualicen opciones arbitrarias en el sitio de WordPress. Esto se puede aprovechar para actualizar el rol predeterminado para el registro como administrador y habilitar el registro de usuarios para que los atacantes obtengan acceso de usuario administrativo a un sitio vulnerable.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/12/2024

Vulnerabilidad en Mister org.mistergroup.shouldianswer 1.4.264 para Android (CVE-2024-37575)
Fecha de publicación:
04/12/2024
Idioma:
Español
La aplicación Mister org.mistergroup.shouldianswer 1.4.264 para Android permite que cualquier aplicación instalada (sin permisos) realice llamadas telefónicas sin interacción del usuario enviando una intención manipulada a través del componente org.mistergroup.shouldianswer.ui.default_dialer.DefaultDialerActivity.
Gravedad CVSS v3.1: ALTA
Última modificación:
11/12/2024

Vulnerabilidad en GriceMobile com.grice.call 4.5.2 para Android (CVE-2024-37574)
Fecha de publicación:
04/12/2024
Idioma:
Español
La aplicación GriceMobile com.grice.call 4.5.2 para Android permite que cualquier aplicación instalada (sin permisos) realice llamadas telefónicas sin interacción del usuario enviando una intención manipulada a través de com.iui.mobile.presentation.MobileActivity.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/12/2024
Suscribirse a Vulnerabilidades