Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en GStreamer (CVE-2024-47596)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha descubierto una lectura OOB en la función qtdemux_parse_svq3_stsd_data dentro de qtdemux.c. En el caso de FOURCC_SMI_, seqh_size se lee del archivo de entrada sin la validación adecuada. Si seqh_size es mayor que el tamaño restante del búfer de datos, puede provocar una lectura OOB en la siguiente llamada a gst_buffer_fill, que utiliza internamente memcpy. Esta vulnerabilidad puede provocar la lectura de hasta 4 GB de memoria de proceso o potencialmente causar un error de segmentación (SEGV) al acceder a memoria no válida. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47597)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha detectado una lectura OOB en la función qtdemux_parse_samples dentro de qtdemux.c. Este problema surge cuando la función qtdemux_parse_samples lee datos más allá de los límites del búfer stream->stco. El siguiente fragmento de código muestra la llamada a qt_atom_parser_get_offset_unchecked, que conduce a la lectura OOB al analizar el archivo GHSL-2024-245_crash1.mp4 proporcionado. Este problema puede provocar la lectura de hasta 8 bytes fuera de los límites. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47598)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha descubierto una vulnerabilidad de lectura OOB en la función qtdemux_merge_sample_table dentro de qtdemux.c. El problema es que el tamaño del búfer stts no se comprueba correctamente antes de leer stts_duration, lo que permite que el programa lea 4 bytes más allá de los límites de stts->data. Esta vulnerabilidad lee hasta 4 bytes más allá de los límites asignados de la matriz stts. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47599)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha descubierto una vulnerabilidad de desreferencia de puntero nulo en la función gst_jpeg_dec_negotiate en gstjpegdec.c. Esta función no comprueba si hay un valor de retorno NULL de gst_video_decoder_set_output_state. Cuando esto sucede, las desreferencias del puntero de estado externo darán lugar a una desreferencia de puntero nulo. Esta vulnerabilidad puede provocar una denegación de servicio (DoS) al activar un error de segmentación (SEGV). Esta vulnerabilidad se solucionó en la versión 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47600)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha detectado una vulnerabilidad de lectura OOB en la función format_channel_mask en gst-discoverer.c. La vulnerabilidad afecta a la posición de la matriz local, que se define con un tamaño fijo de 64 elementos. Sin embargo, la función gst_discoverer_audio_info_get_channels puede devolver un valor de canales guint mayor que 64. Esto hace que el bucle for intente acceder más allá de los límites de la matriz de posición, lo que da como resultado una lectura OOB cuando se utiliza un índice mayor que 63. Esta vulnerabilidad puede dar como resultado la lectura de bytes no deseados de la pila. Además, la desreferencia de value->value_nick después de la lectura OOB puede provocar una mayor corrupción de la memoria o un comportamiento indefinido. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47601)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha descubierto una vulnerabilidad de desreferencia de puntero nulo en la función gst_matroska_demux_parse_blockgroup_or_simpleblock dentro de matroska-demux.c. Esta función no verifica correctamente la validez del puntero *sub de GstBuffer antes de realizar desreferencias. Como resultado, pueden ocurrir desreferencias de puntero nulo. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47602)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha descubierto una vulnerabilidad de desreferencia de puntero nulo en la función gst_matroska_demux_add_wvpk_header dentro de matroska-demux.c. Esta función no verifica correctamente la validez del puntero stream->codec_priv en el siguiente código. Si stream->codec_priv es NULL, la llamada a GST_READ_UINT16_LE intentará desreferenciar un puntero nulo, lo que provocará un bloqueo de la aplicación. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47545)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha detectado un desbordamiento de enteros en la función qtdemux_parse_trak dentro de qtdemux.c. Durante el caso de análisis de strf, el tamaño de la resta -= 40 puede provocar un desbordamiento de enteros negativo si es menor que 40. Si esto sucede, la llamada posterior a gst_buffer_fill invocará memcpy con un tamaño de copia grande, lo que dará como resultado una lectura OOB. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47546)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha detectado un desbordamiento de enteros en la función extract_cc_from_data dentro de qtdemux.c. En el caso de FOURCC_c708, la resta atom_length - 8 puede resultar en un desbordamiento si atom_length es menor que 8. Cuando esa resta genera un desbordamiento, *cclen termina siendo un número grande y luego cclen se pasa a g_memdup2, lo que genera una lectura fuera de los límites (OOB). Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47538)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha detectado un desbordamiento del búfer de pila en la función vorbis_handle_identification_packet dentro de gstvorbisdec.c. La matriz de posición es un búfer asignado a la pila de tamaño 64. Si vd->vi.channels supera los 64, el bucle for escribirá más allá de los límites de la matriz de posición. El valor escrito siempre será GST_AUDIO_CHANNEL_POSITION_NONE. Esta vulnerabilidad permite sobrescribir la dirección EIP asignada en la pila. Además, este error puede sobrescribir la estructura de información GstAudioInfo. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47539)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se identificó una vulnerabilidad de escritura fuera de los límites en la función convert_to_s334_1a en isomp4/qtdemux.c. La vulnerabilidad surge debido a una discrepancia entre el tamaño de la memoria asignada a la matriz de almacenamiento y la condición del bucle i * 2 < ccpair_size. Específicamente, cuando ccpair_size es par, el tamaño asignado en el almacenamiento no coincide con los límites esperados del bucle, lo que resulta en una escritura fuera de los límites. Este error permite la sobrescritura de hasta 3 bytes más allá de los límites asignados de la matriz de almacenamiento. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47540)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha identificado una vulnerabilidad de variable de pila no inicializada en la función gst_matroska_demux_add_wvpk_header dentro de matroska-demux.c. Cuando size < 4, el programa llama a gst_buffer_unmap con una variable de mapa no inicializada. Luego, en la función gst_memory_unmap, el programa intentará desasignar el búfer utilizando la variable de mapa no inicializada, lo que provocará un secuestro del puntero de función, ya que saltará a mem->allocator->mem_unmap_full o mem->allocator->mem_unmap. Esta vulnerabilidad podría permitir que un atacante secuestre el flujo de ejecución, lo que podría provocar la ejecución del código. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026
Suscribirse a Vulnerabilidades