Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Ruijie EG-2000 (CVE-2019-16640)
Fecha de publicación:
16/07/2024
Idioma:
Español
Se encontró un problema en upload.PHP en el gateway de la serie Ruijie EG-2000. Un parámetro pasado a la clase UploadFile se maneja incorrectamente (%00 y /var/./html no se verifican), lo que puede permitir a un atacante subir cualquier archivo al gateway. Esto afecta a EG-2000SE EG_RGOS 11.9 B11P1.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2025

Vulnerabilidad en Ruijie EG-2000 (CVE-2019-16641)
Fecha de publicación:
16/07/2024
Idioma:
Español
Se encontró un problema en la pasarela de la serie Ruijie EG-2000. Hay un desbordamiento de búfer en client.so. En consecuencia, un atacante puede usar login.php para iniciar sesión en cualquier cuenta, sin proporcionar su contraseña. Esto afecta a EG-2000SE EG_RGOS 11.1(1)B1.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2025

Vulnerabilidad en JFinalCMS v.5.0.0 (CVE-2024-40322)
Fecha de publicación:
16/07/2024
Idioma:
Español
Se descubrió un problema en JFinalCMS v.5.0.0. Hay una vulnerabilidad de inyección SQL a través de /admin/div_data/data
Gravedad CVSS v3.1: ALTA
Última modificación:
15/08/2024

Vulnerabilidad en Hewlett Packard Enterprise (CVE-2024-22442)
Fecha de publicación:
16/07/2024
Idioma:
Español
La vulnerabilidad podría explotarse de forma remota para evitar la autenticación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/10/2024

Vulnerabilidad en Tenda AC18 V15.03.3.10_EN (CVE-2024-33180)
Fecha de publicación:
16/07/2024
Idioma:
Español
Se descubrió que Tenda AC18 V15.03.3.10_EN contiene una vulnerabilidad de desbordamiento del búfer basada en pila a través del parámetro deviceId en ip/goform/saveParentControlInfo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/08/2024

Vulnerabilidad en Tenda AC18 V15.03.3.10_EN (CVE-2024-33182)
Fecha de publicación:
16/07/2024
Idioma:
Español
Se descubrió que Tenda AC18 V15.03.3.10_EN contiene una vulnerabilidad de desbordamiento del búfer basada en pila a través del parámetro deviceId en ip/goform/addWifiMacFilter.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/08/2024

Vulnerabilidad en Tenda i29V1.0 V1.0.0.5 (CVE-2024-35338)
Fecha de publicación:
16/07/2024
Idioma:
Español
Se descubrió que Tenda i29V1.0 V1.0.0.5 contenía una contraseña codificada para root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/08/2024

Vulnerabilidad en Software House C?CURE 9000 Site Server (CVE-2024-32861)
Fecha de publicación:
16/07/2024
Idioma:
Español
En determinadas circunstancias, Software House C?CURE 9000 Site Server proporciona una protección insuficiente de los directorios que contienen archivos ejecutables.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/01/2025

Vulnerabilidad en GTK (CVE-2024-6655)
Fecha de publicación:
16/07/2024
Idioma:
Español
Se encontró una falla en la librería GTK. Bajo ciertas condiciones, es posible inyectar una librería en una aplicación GTK desde el directorio de trabajo actual.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/03/2025

Vulnerabilidad en Acronis Cyber Protect 15 (CVE-2022-45449)
Fecha de publicación:
16/07/2024
Idioma:
Español
Divulgación de información confidencial debido a privilegios excesivos asignados a Acronis Agent. Los siguientes productos se ven afectados: Acronis Cyber Protect 15 (Windows, Linux) antes de la compilación 30984.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/03/2025

Vulnerabilidad en kernel de Linux (CVE-2022-48861)
Fecha de publicación:
16/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vdpa: corrige el use-after-free en vp_vdpa_remove Cuando el controlador vp_vdpa se desvincula, se libera vp_vdpa en vdpa_unregister_device y luego se elimina la referencia a vp_vdpa->mdev.pci_dev en vp_modern_remove, lo que activa el use-after-free. Rastreo de llamadas de controlador de desvinculación gratuito vp_vdpa: do_syscall_64 vfs_write kernfs_fop_write_iter device_release_driver_internal pci_device_remove vp_vdpa_remove vdpa_unregister_device kobject_release device_release kfree Rastreo de llamadas de desreferencia vp_vdpa->mdev.pci_dev: vp_modern_remove p ci_release_selected_regions pci_release_region pci_resource_len pci_resource_end (dev)->resource[(bar)].end
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/07/2024

Vulnerabilidad en kernel de Linux (CVE-2022-48862)
Fecha de publicación:
16/07/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: vhost: corrige el hilo colgado debido a entradas erróneas de iotlb En vhost_iotlb_add_range_ctx(), el tamaño del rango puede desbordarse a 0 cuando el inicio es 0 y el último es ULONG_MAX. Un caso en el que puede suceder es cuando el espacio de usuario envía un mensaje IOTLB con iova=size=uaddr=0 (vhost_process_iotlb_msg). Entonces, una entrada con tamaño = 0, inicio = 0, último = ULONG_MAX termina en iotlb. La próxima vez que se envíe un paquete, iotlb_access_ok() se repite indefinidamente debido a esa entrada errónea. Seguimiento de llamadas: iotlb_access_ok+0x21b/0x3e0 drivers/vhost/vhost.c:1340 vq_meta_prefetch+0xbc/0x280 drivers/vhost/vhost.c:1366 vhost_transport_do_send_pkt+0xe0/0xfd0 drivers/vhost/vsock.c:104 vhost_worker+ 0x23d/0x3d0 drivers/vhost/vhost.c:372 kthread+0x2e9/0x3a0 kernel/kthread.c:377 ret_from_fork+0x1f/0x30 arch/x86/entry/entry_64.S:295 Reportado por syzbot en: https ://syzkaller.appspot.com/bug?extid=0abd373e2e50d704db87 Para solucionar este problema, haga dos cosas: 1. Devuelva -EINVAL en vhost_chr_write_iter() cuando el espacio de usuario solicite asignar un rango con tamaño 0. 2. Corrija vhost_iotlb_add_range_ctx() para manejar el rango [0, ULONG_MAX] dividiéndolo en dos entradas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/07/2024
Suscribirse a Vulnerabilidades