Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en GStreamer (CVE-2024-47541)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha identificado una vulnerabilidad de escritura OOB en la función gst_ssa_parse_remove_override_codes del archivo gstssaparse.c. Esta función es responsable de analizar y eliminar los códigos de anulación de estilo SSA (SubStation Alpha), que están encerrados entre llaves ({}). El problema surge cuando aparece una llave de cierre "}" antes de una llave de apertura "{" en la cadena de entrada. En este caso, memmove() duplica incorrectamente una subcadena. Con cada iteración sucesiva del bucle, el tamaño pasado a memmove() se vuelve progresivamente más grande (strlen(end+1)), lo que lleva a una escritura más allá de los límites de memoria asignados. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47542)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha descubierto una desreferencia de puntero nulo en la función id3v2_read_synch_uint, ubicada en id3v2.c. Si se llama a id3v2_read_synch_uint con un work->hdr.frame_data nulo, se accede al puntero guint8 *data sin validación, lo que da como resultado una desreferencia de puntero nulo. Esta vulnerabilidad puede resultar en una denegación de servicio (DoS) al activar un error de segmentación (SEGV). Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47543)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha descubierto una vulnerabilidad de lectura OOB en la función qtdemux_parse_container dentro de qtdemux.c. En la función principal qtdemux_parse_node, el valor de length no se comprueba bien. Por lo tanto, si length es lo suficientemente grande, hace que el extremo del puntero apunte más allá de los límites del búfer. Posteriormente, en la función qtdemux_parse_container, el bucle while puede activar una lectura OOB, accediendo a la memoria más allá de los límites del búfer. Esta vulnerabilidad puede provocar la lectura de hasta 4 GB de memoria de proceso o potencialmente causar un error de segmentación (SEGV) al acceder a memoria no válida. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47544)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de manejo de medios. La función qtdemux_parse_sbgp en qtdemux.c se ve afectada por una vulnerabilidad de desreferencia nula. Esta vulnerabilidad se corrigió en la versión 1.24.10.
Gravedad CVSS v4.0: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en GStreamer (CVE-2024-47537)
Fecha de publicación:
12/12/2024
Idioma:
Español
GStreamer es una librería para construir gráficos de componentes de la gestión de medios. El programa intenta reasignar la memoria a la que apunta stream->samples para acomodar elementos stream->n_samples + samples_count del tipo QtDemuxSample. El problema es que samples_count se lee desde el archivo de entrada. Y si este valor es lo suficientemente grande, esto puede provocar un desbordamiento de enteros durante la adición. Como consecuencia, g_try_renew podría asignar memoria para una cantidad significativamente menor de elementos de lo previsto. Después de esto, el programa itera a través de los elementos samples_count e intenta escribir la cantidad de elementos samples_count, lo que podría exceder el tamaño real de la memoria asignada y provocar una escritura OOB. Esta vulnerabilidad se corrigió en 1.24.10.
Gravedad CVSS v4.0: ALTA
Última modificación:
17/03/2026

Vulnerabilidad en OpenCTI (CVE-2024-45404)
Fecha de publicación:
12/12/2024
Idioma:
Español
OpenCTI es una plataforma de inteligencia de amenazas cibernéticas de código abierto. En versiones anteriores a la 6.2.18, debido a que no existe la función para limitar la tasa de OTP, un atacante con credenciales válidas o un usuario malintencionado que cometa fraude interno puede vulnerar la autenticación de dos factores y secuestrar la cuenta. Esto se debe a que la mutación otpLogin no implementa la limitación de la tasa de contraseñas de un solo uso. Al momento de la publicación, se desconoce si hay un parche disponible.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/05/2025

Vulnerabilidad en Go Project (CVE-2024-45337)
Fecha de publicación:
12/12/2024
Idioma:
Español
Las aplicaciones y bibliotecas que hacen un mal uso de la devolución de llamada ServerConfig.PublicKeyCallback pueden ser susceptibles a una omisión de autorización.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Microsoft Office (CVE-2024-43600)
Fecha de publicación:
12/12/2024
Idioma:
Español
Vulnerabilidad de elevación de privilegios en Microsoft Office
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2025

Vulnerabilidad en Microsoft Office (CVE-2024-43594)
Fecha de publicación:
12/12/2024
Idioma:
Español
Vulnerabilidad de elevación de privilegios en System Center Operations Manager
Gravedad CVSS v3.1: ALTA
Última modificación:
08/01/2025

Vulnerabilidad en Veeam Service Provider Console (VSPC) (CVE-2024-42448)
Fecha de publicación:
12/12/2024
Idioma:
Español
Desde la máquina del agente de administración de VSPC, siempre que el agente de administración esté autorizado en el servidor, es posible realizar la ejecución remota de código (RCE) en la máquina del servidor de VSPC.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Ivanti Connect Secure (CVE-2024-37401)
Fecha de publicación:
12/12/2024
Idioma:
Español
Una lectura fuera de los límites en IPsec de Ivanti Connect Secure anterior a la versión 22.7R2.1 permite que un atacante remoto no autenticado provoque una denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2025

Vulnerabilidad en Ivanti Connect Secure (CVE-2024-37377)
Fecha de publicación:
12/12/2024
Idioma:
Español
Un desbordamiento de búfer basado en montón en IPsec de Ivanti Connect Secure anterior a la versión 22.7R2.3 permite que un atacante remoto no autenticado provoque una denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2025
Suscribirse a Vulnerabilidades