Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2024-42125)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: rtw89: fw: la descarga de escaneo prohíbe todos los canales de 6 GHz si no hay una banda de 6 GHz. Tenemos alguna política a través de BIOS para bloquear los usos de 6 GHz. En este caso, la banda de 6 GHz será NULL incluso si se trata de un chip WiFi 7. Por lo tanto, agregue manejo NULL aquí para evitar fallos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/10/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42128)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: LED: an30259a: use devm_mutex_init() para la inicialización mutex. En este controlador, los LED se registran usando devm_led_classdev_register(), por lo que se cancelan automáticamente el registro después de que se realiza la eliminación() del módulo. led_classdev_unregister() llama a led_set_brightness() del módulo para apagar los LED y esa devolución de llamada usa mutex que ya fue destruido en remove() del módulo, así que use la API devm en su lugar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/09/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42122)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: Agregar verificación de puntero NULL para kzalloc [Por qué y cómo] Verifique el puntero de retorno de kzalloc antes de usarlo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42129)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: LED: mlxreg: use devm_mutex_init() para la inicialización mutex. En este controlador, los LED se registran usando devm_led_classdev_register(), por lo que se cancelan automáticamente el registro después de que se realiza la eliminación() del módulo. led_classdev_unregister() llama a led_set_brightness() del módulo para apagar los LED y esa devolución de llamada usa mutex que ya fue destruido en remove() del módulo, así que use la API devm en su lugar.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42119)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/amd/display: omite la búsqueda de audio gratuito para motor_id desconocido [POR QUÉ] ENGINE_ID_UNKNOWN = -1 y no se puede utilizar como índice de matriz. Además, también significa que no está inicializado y no necesita audio gratuito. [CÓMO] Saltar y devolver NULL. Esto soluciona 2 problemas de OVERRUN informados por Coverity.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42120)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: verifique el desplazamiento de la tubería antes de configurar vblank pipe_ctx tiene un tamaño de MAX_PIPES, por lo que debe verificar su índice antes de acceder a la matriz. Esto soluciona un problema de OVERRUN informado por Coverity.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42121)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: Verifique el índice msg_id antes de leer o escribir [QUÉ] msg_id se usa como índice de matriz y no puede ser un valor negativo y, por lo tanto, no puede ser igual a MOD_HDCP_MESSAGE_ID_INVALID (-1). [CÓMO] Verifique si msg_id es válido antes de leer y configurar. Esto soluciona 4 problemas de OVERRUN informados por Coverity.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42124)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: qedf: Hacer que qedf_execute_tmf() no sea preferible Dejar de llamar a smp_processor_id() desde código preferente en qedf_execute_tmf90. Esto da como resultado BUG_ON() cuando se ejecuta un kernel RT. [659.343280] ERROR: uso de smp_processor_id() en código interrumpible [00000000]: sg_reset/3646 [659.343282] la persona que llama es qedf_execute_tmf+0x8b/0x360 [qedf]
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42126)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powerpc: Evite nmi_enter/nmi_exit en interrupción en modo real. nmi_enter()/nmi_exit() toca variables por CPU que pueden provocar un fallo del kernel cuando se invoca durante el manejo de interrupciones en modo real (por ejemplo, el controlador de interrupciones HMI/MCE temprano) si la asignación de percpu proviene del área vmalloc. Los primeros controladores HMI/MCE se llaman a través del contenedor DEFINE_INTERRUPT_HANDLER_NMI() que invoca llamadas nmi_enter/nmi_exit. No vemos ningún problema cuando la asignación de percpu proviene del primer fragmento integrado. Sin embargo, con CONFIG_NEED_PER_CPU_PAGE_FIRST_CHUNK habilitado, hay posibilidades de que la asignación de percpu pueda provenir del área vmalloc. Con la línea de comando del kernel "percpu_alloc=page" podemos forzar que la asignación de percpu provenga del área vmalloc y podemos ver el fallo del kernel en machine_check_early: [1.215714] NIP [c000000000e49eb4] rcu_nmi_enter+0x24/0x110 [1.215717] LR [c0000000000461a0] check_early+0xf0/ 0x2c0 [1.215719] --- interrupción: 200 [ 1.215720] [c000000fffd73180] [0000000000000000] 0x0 (no confiable) [ 1.215722] [c000000fffd731b0] 000] 0x0 [ 1.215724] [c000000fffd73210] [c000000000008364] machine_check_early_common+0x134/0x1f8 Solucionar esto mediante evitando el uso de nmi_enter()/nmi_exit() en modo real si el primer fragmento de percpu no está incrustado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42127)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/lima: arregla el manejo de irq compartido en el controlador elimina lima usa una interrupción compartida, por lo que los controladores de interrupciones deben estar preparados para ser llamados en cualquier momento. En el momento de la eliminación del controlador, los relojes se desactivan antes de tiempo y las interrupciones permanecen registradas hasta el final del proceso de eliminación debido al uso del devm. Esto es potencialmente un error ya que las interrupciones acceden a los registros del dispositivo, lo que supone que los relojes están habilitados. Se puede provocar un bloqueo eliminando el controlador en un kernel con CONFIG_DEBUG_SHIRQ habilitado. Este parche libera las interrupciones en cada dispositivo Lima que finaliza la devolución de llamada para que los controladores ya estén dados de baja cuando deshabilitemos completamente los relojes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42107)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ice: no procesar extts si PTP está deshabilitado. La función ice_ptp_extts_event() puede competir con ice_ptp_release() y provocar una desreferencia del puntero NULL que provoca un pánico en el kernel. El pánico ocurre porque la función ice_ptp_extts_event() llama a ptp_clock_event() con un puntero NULL. El controlador de hielo ya ha liberado el reloj PTP cuando ocurre la interrupción para el siguiente evento de marca de tiempo externo. Para solucionar este problema, modifique la función ice_ptp_extts_event() para verificar el estado de PTP y salir temprano si PTP no está listo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42108)
Fecha de publicación:
30/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: rswitch: Evite el use after free en rswitch_poll() El use after free está en realidad en rswitch_tx_free(), que está incluido en rswitch_poll(). Dado que `skb` y `gq->skbs[gq->dirty]` son de hecho el mismo puntero, el skb primero se libera usando dev_kfree_skb_any(), luego el valor en skb->len se usa para actualizar las estadísticas de la interfaz. Avancemos por las instrucciones para usar skb->len antes de liberar el skb. Este error es trivial de reproducir usando KFENCE. Activará un sonido cada pocos paquetes. Una simple solicitud ARP o una solicitud de eco ICMP es suficiente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2025
Suscribirse a Vulnerabilidades