Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Linksys E5600 v1.1.0.26 (CVE-2024-33789)
Fecha de publicación:
03/05/2024
Idioma:
Español
Se descubrió que Linksys E5600 v1.1.0.26 contenía una vulnerabilidad de inyección de comandos a través del parámetro ipurl en el endpoint del formulario /API/info.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/06/2025

Vulnerabilidad en codesiddhant Jasmin Ransomware v.1.0.1 (CVE-2024-30851)
Fecha de publicación:
03/05/2024
Idioma:
Español
Vulnerabilidad de Directory Traversal en codesiddhant Jasmin Ransomware v.1.0.1 permite a un atacante obtener información confidencial a través del componente download_file.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2025

Vulnerabilidad en ClusterRole (CVE-2024-33398)
Fecha de publicación:
03/05/2024
Idioma:
Español
Hay un ClusterRole en piraeus-operator v2.5.0 y versiones anteriores al que se le ha otorgado permiso de lista de secretos, lo que permite a un atacante hacerse pasar por la cuenta de servicio vinculada a este ClusterRole y usar sus privilegios de alto riesgo para enumerar información confidencial en todo el clúster.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2024

Vulnerabilidad en Java de Bouncy Castle (CVE-2024-34447)
Fecha de publicación:
03/05/2024
Idioma:
Español
Se descubrió un problema en las API de criptografía Java de Bouncy Castle antes de BC 1.78. Cuando la identificación de endpoint está habilitada en BCJSSE y se crea un socket SSL sin un nombre de host explícito (como sucede con HttpsURLConnection), la verificación del nombre de host podría realizarse contra una dirección IP resuelta por DNS en algunas situaciones, lo que abre una posibilidad de envenenamiento de DNS.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2025

Vulnerabilidad en Vditor 3.10.3 (CVE-2024-34449)
Fecha de publicación:
03/05/2024
Idioma:
Español
Vditor 3.10.3 permite XSS a través de un atributo de un elemento A. NOTA: el proveedor indica que se supone que un usuario debe mitigar esto mediante sanitize=true.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/08/2025

Vulnerabilidad en IBM Aspera Orchestrator (CVE-2023-37407)
Fecha de publicación:
03/05/2024
Idioma:
Español
IBM Aspera Orchestrator 4.0.1 podría permitir que un atacante remoto autenticado ejecute comandos arbitrarios en el sistema enviando una solicitud especialmente manipulada. ID de IBM X-Force: 260116.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/01/2025

Vulnerabilidad en kernel de Linux (CVE-2022-48696)
Fecha de publicación:
03/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: regmap: spi: reserva de espacio para dirección/relleno de registro Actualmente, los límites max_raw_read y max_raw_write en la estructura regmap_spi no tienen en cuenta el tamaño adicional de la dirección de registro transmitida y el relleno. Esto puede dar como resultado que se exceda el tamaño de mensaje SPI máximo permitido, lo que podría causar un comportamiento indefinido, por ejemplo, corrupción de datos. Corrija regmap_get_spi_bus() para ajustar adecuadamente los límites mencionados anteriormente reservando espacio para la dirección/relleno del registro como se establece en la configuración de regmap.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2025

Vulnerabilidad en kernel de Linux (CVE-2022-48697)
Fecha de publicación:
03/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvmet: corrige un use-after-free. Solucione la siguiente queja de use-after-free activada por blktests nvme/004: ERROR: KASAN: acceso a la memoria del usuario en blk_mq_complete_request_remote+0xac /0x350 Lectura de tamaño 4 en la dirección 0000607bd1835943 por tarea kworker/13:1/460 Cola de trabajo: nvmet-wq nvme_loop_execute_work [nvme_loop] Seguimiento de llamadas: show_stack+0x52/0x58 dump_stack_lvl+0x49/0x5e /0x1e2 informe_kasan+0xb9 /0xf0 __asan_load4+0x6b/0x80 blk_mq_complete_request_remote+0xac/0x350 nvme_loop_queue_response+0x1df/0x275 [nvme_loop] __nvmet_req_complete+0x132/0x4f0 [nvmet_req_complete+0x15/0x 40 [nvmet] nvmet_execute_io_connect+0x18a/0x1f0 [nvmet] nvme_loop_execute_work+0x20/0x30 [ nvme_loop] proceso_one_work+0x56e/0xa70 trabajador_thread+0x2d1/0x640 kthread+0x183/0x1c0 ret_from_fork+0x1f/0x30
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2025

Vulnerabilidad en kernel de Linux (CVE-2022-48698)
Fecha de publicación:
03/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: soluciona la pérdida de memoria al usar debugfs_lookup() Al llamar a debugfs_lookup(), el resultado debe tener llamado dput(); de lo contrario, la memoria se perderá con el tiempo. Solucione este problema llamando correctamente a dput().
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2025

Vulnerabilidad en kernel de Linux (CVE-2022-48699)
Fecha de publicación:
03/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sched/debug: corrige la fuga de dentry en update_sched_domain_debugfs Kuyo informa que el patrón de uso de debugfs_remove(debugfs_lookup()) pierde un dentry y con una prueba de estrés de conexión en caliente, la máquina eventualmente se queda sin memoria. Solucione este problema utilizando la llamada debugfs_lookup_and_remove() recién creada, que maneja adecuadamente la lógica de conteo de referencias de dentry.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2025

Vulnerabilidad en kernel de Linux (CVE-2022-48700)
Fecha de publicación:
03/05/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: vfio/type1: Desanclar páginas cero Actualmente hay una pérdida de recuento de referencias en la página cero. Incrementamos la referencia a través de pin_user_pages_remote(), pero la página luego se maneja como una página no válida/reservada, por lo tanto, no se contabiliza contra el usuario y nuestro put_pfn() no la desancla. Introducir un manejo especial de la página cero en put_pfn() resolvería la fuga, pero sin tener en cuenta la página cero, un solo usuario aún podría crear suficientes asignaciones para generar un desbordamiento del recuento de referencias. La página cero siempre es residente, por lo que para nuestros propósitos no hay motivo para mantenerla fijada. Por lo tanto, agregue un bucle para recorrer las páginas devueltas desde pin_user_pages_remote() y desanclar las páginas cero.
Gravedad: Pendiente de análisis
Última modificación:
19/12/2024

Vulnerabilidad en kernel de Linux (CVE-2022-48701)
Fecha de publicación:
03/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ALSA: usb-audio: corrige un error fuera de los límites en __snd_usb_parse_audio_interface() Puede haber un dispositivo de audio USB defectuoso con una ID de USB de (0x04fa, 0x4201) y el Si el número de interfaces es inferior a 4, se produce un error de lectura fuera de límites al analizar el descriptor de interfaz para este dispositivo. Solucione este problema verificando la cantidad de interfaces.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/03/2025
Suscribirse a Vulnerabilidades