Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2024-50007)
Fecha de publicación:
21/10/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ALSA: asihpi: Se corrige el posible acceso a la matriz OOB. El controlador ASIHPI almacena algunos valores en la matriz estática tras una respuesta del controlador, y su índice depende del firmware. No deberíamos confiar ciegamente en él. Este parche agrega una comprobación de la integridad del índice de la matriz para que se ajuste al tamaño de la matriz.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

CVE-2024-50008
Fecha de publicación:
21/10/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mwifiex: Se corrige la advertencia de escritura que abarca el campo memcpy() en mwifiex_cmd_802_11_scan_ext() Reemplazar la matriz de un elemento con un miembro de matriz flexible en `struct host_cmd_ds_802_11_scan_ext`. Con esto, se soluciona la siguiente advertencia: elo 16 17:51:58 kernel de surfacebook: ------------[ cortar aquí ]------------ elo 16 17:51:58 kernel de surfacebook: memcpy: se detectó escritura que abarca el campo (tamaño 243) de un solo campo "ext_scan->tlv_buffer" en drivers/net/wireless/marvell/mwifiex/scan.c:2239 (tamaño 1) elo 16 17:51:58 kernel de surfacebook: ADVERTENCIA: CPU: 0 PID: 498 en drivers/net/wireless/marvell/mwifiex/scan.c:2239 mwifiex_cmd_802_11_scan_ext+0x83/0x90 [mwifiex]
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50010)
Fecha de publicación:
21/10/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: exec: no WARN para comprobación atrevida de path_noexec Tanto las comprobaciones i_mode como noexec envueltas en WARN_ON provienen de un artefacto de la implementación anterior. Solían comprobar legítimamente la condición, pero eso se movió hacia arriba en dos confirmaciones: 633fb6ac3980 ("exec: mover la comprobación S_ISREG() antes") 0fd338b2d2cd ("exec: mover la comprobación path_noexec() antes") En lugar de eliminarse, dichas comprobaciones se WARN_ON, lo que tiene algún valor de depuración. Sin embargo, la comprobación falsa path_noexec es atrevida, lo que resulta en advertencias injustificadas si alguien se apresura a configurar el indicador noexec. Se puede notar que hay más para comprobar si se permite execve y no se garantiza que ninguna de las condiciones siga siendo válida después de que se probaron. Además, esto no valida si la ruta del código realizó alguna verificación de permisos para comenzar; pasará si el inodo resulta ser regular. Mantenga la verificación redundante path_noexec() aunque sea una verificación sin sentido de garantía que no se proporciona, así que elimine la ADVERTENCIA. Reformule el comentario y haga pequeñas correcciones mientras esté aquí. [brauner: mantenga la verificación redundante path_noexec()]
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50012)
Fecha de publicación:
21/10/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cpufreq: evitar un recuento de referencia incorrecto en el nodo de CPU En la función parse_perf_domain, si la llamada a of_parse_phandle_with_args devuelve un error, la referencia al nodo de dispositivo de CPU que se adquirió al inicio de la función no se decrementaría correctamente. Aborde esto declarando la variable con el atributo de limpieza __free(device_node).
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50013)
Fecha de publicación:
21/10/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: exfat: corrige pérdida de memoria en exfat_load_bitmap() Si la primera entrada de directorio en el directorio raíz no es una entrada de directorio de mapa de bits, 'bh' no se liberará ni se reasignará, lo que provocará una pérdida de memoria.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50015)
Fecha de publicación:
21/10/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ext4: dax: se corrige el desbordamiento de extensiones más allá del tamaño del inodo al escribir parcialmente. Dax_iomap_rw() hace dos cosas en cada iteración: asigna bloques escritos y copia datos de usuario a bloques. Si el usuario finaliza el proceso (consulte el manejo de señales en dax_iomap_iter()), los datos copiados se devolverán y se agregarán al tamaño del inodo, lo que significa que la longitud de las extensiones escritas puede exceder el tamaño del inodo, entonces fsck fallará. Se proporciona un ejemplo como: dd if=/dev/urandom of=file bs=4M count=1 dax_iomap_rw iomap_iter // ronda 1 ext4_iomap_begin ext4_iomap_alloc // asignar 0~2M de extensiones (bandera escrita) dax_iomap_iter // copiar 2M de datos iomap_iter // ronda 2 iomap_iter_advance iter->pos += iter->processed // iter->pos = 2M ext4_iomap_begin ext4_iomap_alloc // asignar 2~4M de extensiones (bandera escrita) dax_iomap_iter fatal_signal_pending hecho = iter->pos - iocb->ki_pos // hecho = 2M ext4_handle_inode_extension ext4_update_inode_size // tamaño de inodo = 2M fsck informa: Inodo 13, i_size es 2097152, debería ser 4194304. ¿Solución? Solucione el problema truncando las extensiones si la longitud escrita es menor a la esperada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en PHPGurukul Hospital Management System 4.0 (CVE-2024-46238)
Fecha de publicación:
21/10/2024
Idioma:
Español
Existen múltiples vulnerabilidades de Cross Site Scripting (XSS) en PHPGurukul Hospital Management System 4.0 a través del parámetro docname en /admin/add-doctor.php y /admin/edit-doctor.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2025

Vulnerabilidad en PHPGurukul Hospital Management System 4.0 (CVE-2024-46239)
Fecha de publicación:
21/10/2024
Idioma:
Español
Existen múltiples vulnerabilidades de Cross Site Scripting en PHPGurukul Hospital Management System 4.0 a través del parámetro docname en /doctor/edit-profile.php y el parámetro adminremark en /admin/query-details.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2025

Vulnerabilidad en Cilium (CVE-2024-47825)
Fecha de publicación:
21/10/2024
Idioma:
Español
Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. A partir de la versión 1.14.0 y antes de las versiones 1.14.16 y 1.15.10, una regla de política que deniegue un prefijo más amplio que `/32` puede ignorarse si hay una regla de política que haga referencia a un prefijo más estrecho (`CIDRSet` o `toFQDN`) y esta regla de política más estrecha especifica `enableDefaultDeny: false` o `- toEntities: all`. Tenga en cuenta que una regla que especifique `toEntities: world` o `toEntities: 0.0.0.0/0` no es suficiente, debe ser para la entidad `all`. Este problema se ha corregido en Cilium v1.14.16 y v1.15.10. Como este problema solo afecta a las políticas que utilizan `enableDefaultDeny: false` o que establecen `toEntities` en `all`, hay algunas soluciones alternativas disponibles. Para los usuarios con políticas que utilizan `enableDefaultDeny: false`, elimine esta opción de configuración y defina explícitamente las reglas de permiso requeridas. Para los usuarios con políticas de salida que especifican explícitamente `toEntities: all`, utilice `toEntities: world`.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/12/2024

Vulnerabilidad en CodeAstro Membership Management System v1.0 (CVE-2024-46236)
Fecha de publicación:
21/10/2024
Idioma:
Español
CodeAstro Membership Management System v1.0 es vulnerable a Cross Site Scripting (XSS) a través del parámetro de dirección en add_members.php y edit_member.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2025

Vulnerabilidad en CodeAstro Membership Management System v1.0 (CVE-2024-48709)
Fecha de publicación:
21/10/2024
Idioma:
Español
CodeAstro Membership Management System v1.0 es vulnerable a Cross Site Scripting (XSS) a través del parámetro membershipType en edit_type.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2025

Vulnerabilidad en kernel de Linux (CVE-2024-50000)
Fecha de publicación:
21/10/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/mlx5e: Se ha corregido la desreferenciación NULL en mlx5e_tir_builder_alloc(). En mlx5e_tir_builder_alloc(), kvzalloc() puede devolver NULL, que se desreferencia en la siguiente línea en una referencia al campo de modificación. Encontrado por Linux Verification Center (linuxtesting.org) con SVACE.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025
Suscribirse a Vulnerabilidades