Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en atributoBytesBase64 y el atributoBytesHex de BinaryXmlSerializer.java (CVE-2024-34740)
Fecha de publicación:
15/08/2024
Idioma:
Español
En el atributoBytesBase64 y el atributoBytesHex de BinaryXmlSerializer.java, existe una posible inyección XML arbitraria debido a un desbordamiento de enteros. Esto podría conducir a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/12/2024

Vulnerabilidad en setForceHideNonSystemOverlayWindowIfNeeded de WindowState.java (CVE-2024-34741)
Fecha de publicación:
15/08/2024
Idioma:
Español
En setForceHideNonSystemOverlayWindowIfNeeded de WindowState.java, existe una forma posible de que el contenido del mensaje sea visible en el protector de pantalla mientras el usuario restringe la configuración de visibilidad de la pantalla de bloqueo debido a un error lógico en el código. Esto podría conducir a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/12/2024

Vulnerabilidad en shouldWrite de OwnersData.java (CVE-2024-34742)
Fecha de publicación:
15/08/2024
Idioma:
Español
En shouldWrite de OwnersData.java, existe un posible caso límite que impide que las políticas de MDM persistan debido a un error lógico en el código. Esto podría provocar una denegación de servicio local sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/11/2024

Vulnerabilidad en setTransactionState de SurfaceFlinger.cpp (CVE-2024-34743)
Fecha de publicación:
15/08/2024
Idioma:
Español
En setTransactionState de SurfaceFlinger.cpp, existe una forma posible de realizar tapjacking debido a un error lógico en el código. Esto podría conducir a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/12/2024

Vulnerabilidad en AVEVA Historian Server (CVE-2024-6456)
Fecha de publicación:
15/08/2024
Idioma:
Español
AVEVA Historian Server tiene una vulnerabilidad que, si se explota, podría permitir que un comando SQL malicioso se ejecute bajo los privilegios de un usuario interactivo de la interfaz REST de Historian que había sido diseñado socialmente por un malhechor para abrir una URL especialmente manipulada.
Gravedad: Pendiente de análisis
Última modificación:
19/08/2024

Vulnerabilidad en itsourcecode Billing System 1.0 (CVE-2024-7839)
Fecha de publicación:
15/08/2024
Idioma:
Español
Una vulnerabilidad ha sido encontrada en itsourcecode Billing System 1.0 y clasificada como crítica. Una parte desconocida del archivo addbill.php afecta a esta vulnerabilidad. La manipulación del argumento id_propietarios conduce a la inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/08/2024

Vulnerabilidad en Xpdf (CVE-2024-7868)
Fecha de publicación:
15/08/2024
Idioma:
Español
En Xpdf 4.05 (y versiones anteriores), la información de encabezado no válida en una secuencia DCT (JPEG) puede generar una variable no inicializada en el decodificador DCT. El archivo PDF de prueba de concepto provoca un error de segmentación al intentar leer desde una dirección no válida.
Gravedad CVSS v4.0: BAJA
Última modificación:
06/10/2025

Vulnerabilidad en Cilium (CVE-2024-42488)
Fecha de publicación:
15/08/2024
Idioma:
Español
Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. Antes de las versiones 1.14.14 y 1.15.8, una condición de ejecución en el agente Cilium puede hacer que el agente ignore las etiquetas que deberían aplicarse a un nodo. Esto, a su vez, podría provocar que las CiliumClusterwideNetworkPolicies destinadas a nodos con la etiqueta ignorada no se apliquen, lo que provocaría una omisión de políticas. Este problema se solucionó en Cilium v1.14.14 y v1.15.8. Como el problema subyacente depende de una condición de ejecución, los usuarios que no pueden actualizar pueden reiniciar el agente Cilium en los nodos afectados hasta que se confirme que las políticas afectadas funcionan como se esperaba.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/09/2024

Vulnerabilidad en zkvyper (CVE-2024-43366)
Fecha de publicación:
15/08/2024
Idioma:
Español
zkvyper es un compilador de Vyper. A partir de la versión 1.3.12 y antes de la versión 1.5.3, dado que LLL IR no tiene restricciones de incompletitud de Turing, se compila en un bucle con una condición de salida mucho más tardía. Conduce a una pérdida de fondos u otro comportamiento no deseado si el cuerpo del bucle lo contiene. Sin embargo, otros casos de uso de la vida real, como iterar sobre una matriz, no se ven afectados. Ningún contrato se vio afectado por este problema, que se solucionó en la versión 1.5.3. Actualizar y reimplementar los contratos afectados es la única manera de evitar la vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/09/2024

Vulnerabilidad en Boa (CVE-2024-43367)
Fecha de publicación:
15/08/2024
Idioma:
Español
Boa es un motor Javascript integrable y experimental escrito en Rust. A partir de la versión 0.16 y antes de la versión 0.19.0, una suposición incorrecta al manejar las operaciones `AsyncGenerator` de ECMAScript puede causar una excepción no detectada en ciertos scripts. La implementación de Boa de `AsyncGenerator` supone que el estado de un objeto `AsyncGenerator` no puede cambiar mientras se resuelve una promesa creada por métodos de `AsyncGenerator` como `%AsyncGeneratorPrototype%.next`, `%AsyncGeneratorPrototype%.return`, o `%AsyncGeneratorPrototype%.throw`. Sin embargo, un código cuidadosamente construido podría desencadenar una transición de estado desde un método getter para la propiedad "then" de la promesa, lo que hace que el motor falle en la afirmación de esta suposición, provocando una excepción no detectada. Esto podría usarse para crear un ataque de denegación de servicio en aplicaciones que ejecutan código ECMAScript arbitrario proporcionado por un usuario externo. La versión 0.19.0 tiene un parche para manejar correctamente este caso. Los usuarios que no puedan actualizar a la versión parcheada querrán usar `std::panic::catch_unwind` para garantizar que las excepciones causadas por el motor no afecten la disponibilidad de la aplicación principal.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/08/2024

Vulnerabilidad en Cilium (CVE-2024-42487)
Fecha de publicación:
15/08/2024
Idioma:
Español
Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. En la rama 1.15 anterior a 1.15.8 y en la rama 1.16 anterior a 1.16.1, las HTTPRoutes y GRPCRoutes de la API de puerta de enlace no siguen la precedencia de coincidencia especificada en la especificación de la API de puerta de enlace. En particular, los encabezados de solicitud coinciden antes que los métodos de solicitud, cuando la especificación describe que los métodos de solicitud deben respetarse antes de que coincidan los encabezados. Esto podría provocar un comportamiento inesperado con la seguridad. Este problema se solucionó en Cilium v1.15.8 y v1.16.1. No existe ninguna solución para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/09/2024

Vulnerabilidad en itsourcecode Online Food Ordering System 1.0 (CVE-2024-7838)
Fecha de publicación:
15/08/2024
Idioma:
Español
Se encontró una vulnerabilidad en itsourcecode Online Food Ordering System 1.0. Ha sido calificada como crítica. Una función desconocida del archivo /addcategory.php es afectada por esta vulnerabilidad. La manipulación del argumento cname conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/08/2024
Suscribirse a Vulnerabilidades