Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2025-37980)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bloque: corrección de fuga de recursos en la ruta de error blk_register_queue(). Si el registro de una cola falla después de que blk_mq_sysfs_register() se ejecute correctamente, pero la función detecta un error posteriormente, es necesario limpiar los recursos blk_mq_sysfs. Agregue la llamada blk_mq_sysfs_unregister() faltante en la ruta de error para limpiar correctamente estos recursos y evitar una fuga de memoria.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2026

Vulnerabilidad en kernel de Linux (CVE-2025-37974)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: s390/pci: Se corrige la falta de comprobación para el retorno del error zpci_create_device(). La función zpci_create_device() devuelve un puntero de error que debe comprobarse antes de desreferenciarlo como puntero struct zpci_dev. Se añade la comprobación faltante en __clp_add(), donde se omitió al añadir la lista de escaneo en el commit corregida. Simplemente no añadir el dispositivo a la lista de escaneo provoca el comportamiento anterior.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37973)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: cfg80211: corrección de acceso fuera de los límites durante la desfragmentación de elementos multienlace. Actualmente, durante el proceso de desfragmentación de elementos multienlace, la longitud de este elemento se sumaba a la longitud total de los elementos de entrada (IE) al calcular la longitud de los elementos de entrada restantes después del elemento multienlace en cfg80211_defrag_mle(). Esto podría provocar un acceso fuera de los límites si el elemento multienlace o sus elementos de fragmento correspondientes son los últimos elementos en el búfer de los elementos de entrada. Para solucionar este problema, calcule correctamente la longitud de los elementos de entrada restantes restando el desplazamiento final del elemento multienlace del desplazamiento final total de los elementos de entrada.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/11/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37971)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: staging: bcm2835-camera: Inicializar dev en v4l2_dev. el commit 42a2f6664e18 ("staging: vc04_services: Mover global g_state a vchiq_state") modificó mmal_init para pasar dev->v4l2_dev.dev a vchiq_mmal_init. Sin embargo, no se inicializó dev->v4l2_dev, por lo que se obtuvo una desreferencia de puntero nulo. Se estableció dev->v4l2_dev.dev durante bcm2835_mmal_probe. El puntero del dispositivo se podría pasar a v4l2_device_register para establecerlo; sin embargo, esto también tiene otros efectos que requerirían cambios adicionales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37967)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: typec: ucsi: displayport: Corrección de interbloqueo. Este parche incorpora las funciones ucsi_con_mutex_lock y ucsi_con_mutex_unlock al controlador UCSI. ucsi_con_mutex_lock garantiza que el mutex del conector solo se bloquee si se establece una conexión y el puntero del asociado es válido. Esto resuelve un escenario de interbloqueo donde ucsi_displayport_remove_partner mantiene con->mutex esperando a que dp_altmode_work complete su ejecución mientras dp_altmode_work intenta adquirirlo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37968)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iio: light: opt3001: corrección de interbloqueo debido al acceso simultáneo a indicadores. La función IRQ enhebrada de este controlador lee el indicador dos veces: una para bloquear un mutex y otra para desbloquearlo. Aunque el código que configura el indicador está diseñado para evitarlo, existen casos sutiles en los que el indicador podría ser verdadero en la etapa mutex_lock y falso en la etapa mutex_unlock. Esto provoca que el mutex no se desbloquee, lo que genera un interbloqueo. Para solucionarlo, haga que el código opt3001_irq() sea generalmente más robusto, leyendo el indicador en una variable y utilizando el valor de la variable en ambas etapas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37969)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iio: imu: st_lsm6dsx: corrige un posible bloqueo en st_lsm6dsx_read_tagged_fifo Evita que st_lsm6dsx_read_tagged_fifo caiga en un bucle infinito en caso de que pattern_len sea igual a cero y el FIFO del dispositivo no esté vacío.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37970)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iio: imu: st_lsm6dsx: corrige un posible bloqueo en st_lsm6dsx_read_fifo Evita que st_lsm6dsx_read_fifo caiga en un bucle infinito en caso de que pattern_len sea igual a cero y el FIFO del dispositivo no esté vacío.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37972)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Entrada: mtk-pmic-keys - corrección de posible desreferencia de puntero nulo. En mtk_pmic_keys_probe, el parámetro regs solo se establece si el botón se analiza en el árbol de dispositivos. Sin embargo, en hardware donde el botón se deja flotante, es muy probable que se elimine ese nodo para no habilitar esa entrada. En ese caso, el código intentará desreferenciar un puntero nulo. En su lugar, usemos la estructura regs, tal como está definida para todas las plataformas compatibles. Tenga en cuenta que es posible establecer el registro de clave incluso si este último está deshabilitado, ya que la interrupción no se habilitará de todos modos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37966)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: riscv: Se corrige el fallo del kernel debido a PR_SET_TAGGED_ADDR_CTRL Cuando el espacio de usuario realiza PR_SET_TAGGED_ADDR_CTRL, pero la extensión Supm no está disponible, el kernel se bloquea: Oops - instrucción ilegal [#1] [snip] epc : set_tagged_addr_ctrl+0x112/0x15a ra : set_tagged_addr_ctrl+0x74/0x15a epc : ffffffff80011ace ra : ffffffff80011a30 sp : ffffffc60039be10 [snip] status: 0000000200000120 badaddr: 0000000010a79073 cause: 00000000000000002 set_tagged_addr_ctrl+0x112/0x15a __riscv_sys_prctl+0x352/0x73c do_trap_ecall_u+0x17c/0x20c andle_exception+0x150/0x15c Corríjalo verificando si Supm está disponible.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en kernel de Linux (CVE-2025-37965)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: Corrección de error de contexto no válido en el asistente dml [Por qué] Error "BUG: función inactiva llamada desde un contexto no válido". Después: "drm/amd/display: Proteger FPU en dml2_validate()/dml21_validate()". La función populate_dml_plane_cfg_from_plane_state() utiliza el indicador GFP_KERNEL para la asignación de memoria, que no debería usarse en contextos atómicos. Esta asignación solo es necesaria para usar otra función auxiliar, get_scaler_data_for_plane(). [Cómo] Modificar los asistentes para que pasen un puntero a scaler_data dentro del contexto existente, eliminando la necesidad de asignar/desasignar memoria dinámicamente y copiar. (Seleccionado de el commit bd3e84bc98f81b44f2c43936bdadc3241d654259)
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2025

Vulnerabilidad en Schweitzer Engineering Laboratories, Inc. (CVE-2025-48014)
Fecha de publicación:
20/05/2025
Idioma:
Español
Los límites de adivinación de contraseñas se pueden eludir al utilizar la autenticación LDAP.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades