Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Tenda AC500 V2.0.1.9(1307) (CVE-2024-32318)
Fecha de publicación:
17/04/2024
Idioma:
Español
El firmware Tenda AC500 V2.0.1.9(1307) tiene una vulnerabilidad de desbordamiento de pila a través del parámetro vlan en la función formSetVlanInfo.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/03/2025

Vulnerabilidad en Tenda AC500 V2.0.1.9(1307) (CVE-2024-32320)
Fecha de publicación:
17/04/2024
Idioma:
Español
El firmware Tenda AC500 V2.0.1.9(1307) tiene una vulnerabilidad de desbordamiento de pila a través del parámetro timeZone en la función formSetTimeZone.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2025

Vulnerabilidad en Phlex (CVE-2024-32463)
Fecha de publicación:
17/04/2024
Idioma:
Español
Phlex es un framework de código abierto para crear vistas orientadas a objetos en Ruby. Existe una posible vulnerabilidad de cross-site scripting (XSS) que puede explotarse mediante datos de usuario creados con fines malintencionados. El filtro para detectar y evitar el uso del esquema de URL `javascript:` en el atributo `href` de una etiqueta `` podría omitirse con tabulaciones `\t` o caracteres de nueva línea `\n` entre los caracteres de el protocolo, por ejemplo `java\tscript:`. Esta vulnerabilidad se solucionó en 1.10.1, 1.9.2, 1.8.3, 1.7.2, 1.6.3, 1.5.3 y 1.4.2. Configurar una política de seguridad de contenido que no permita "inseguro en línea" evitaría efectivamente que se aproveche esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/04/2024

Vulnerabilidad en kernel de Linux (CVE-2024-26913)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/amd/display: solucione el problema de corrupción/desbordamiento de dcn35 8k30 [por qué] falta el cálculo de odm para la determinación de la política de división de tuberías y causa un problema de corrupción/desbordamiento. [cómo] Agregue el cálculo de odm.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2024

Vulnerabilidad en kernel de Linux (CVE-2024-26915)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: Restablecer el bit IH OVERFLOW_CLEAR También nos permite detectar desbordamientos posteriores del búfer en anillo IH.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2025

Vulnerabilidad en kernel de Linux (CVE-2024-26916)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: Revertir "drm/amd: eliminar cualquier gfxoff retrasado al suspender la entrada" commit ab4750332dbe ("drm/amdgpu/sdma5.2: agregar devoluciones de llamada de anillo de inicio/fin de uso") provocó que el control de GFXOFF se utilizará más intensamente y la ruta de código que se eliminó del commit 0dee72639533 ("drm/amd: eliminar cualquier gfxoff retrasado al suspender la entrada") ahora se puede ejercer nuevamente en suspensión. Los usuarios informan que al usar GNOME para suspender el activador de la pantalla de bloqueo provocará tráfico SDMA y el sistema puede bloquearse. Esto revierte el commit 0dee726395333fea833eaaf838bc80962df886c8.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/09/2025

Vulnerabilidad en kernel de Linux (CVE-2024-26917)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: scsi: Revertir "scsi: fcoe: Reparar posible punto muerto en &fip->ctlr_lock" Esto revierte el commit 1a1975551943f681772720f639ff42fbaa746212. Este commit provoca que se pierdan las interrupciones para los dispositivos FCoE, ya que cambió los bloqueos de sping de "bh" a "irqsave". En su lugar, se debe utilizar una cola de trabajo, que se abordará en un commit separado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2025

Vulnerabilidad en kernel de Linux (CVE-2024-26918)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: PCI: corrige el requisito de estado activo en el sondeo de PME. La confirmación observada en las correcciones agregó un requisito falso de que los dispositivos administrados por PM en tiempo de ejecución deben estar en el estado RPM_ACTIVE para el sondeo de PME. De hecho, sólo se deben sondear los dispositivos en estados de bajo consumo de energía. Sin embargo, todavía existe el requisito de que se pueda acceder al espacio de configuración del dispositivo, lo que tiene implicaciones tanto para el estado actual del dispositivo sondeado como para el puente principal, cuando esté presente. No es suficiente asumir que el puente permanece en D0 y se han observado casos en los que el puente pasa la prueba D0, pero el estado PM indica RPM_SUSPENDING y el espacio de configuración del dispositivo sondeado se vuelve inaccesible durante pci_pme_wakeup(). Por lo tanto, dado que ya se requiere que el puente esté en el estado RPM_ACTIVE, formalice esto en el código y eleve el recuento de uso de PM para mantener el estado mientras se sondea el dispositivo subordinado. Esto resuelve una regresión reportada en el bugzilla a continuación donde una jerarquía Thunderbolt/USB4 no puede buscar un endpoint NVMe conectado aguas abajo de un puente en un estado de energía D3hot.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/09/2025

Vulnerabilidad en kernel de Linux (CVE-2024-26919)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: usb: ulpi: corrige la fuga del directorio debugfs La raíz debugfs por dispositivo ULPI lleva el nombre del dispositivo principal ulpi, pero ulpi_unregister_interface intenta eliminar un directorio debugfs que lleva el nombre del dispositivo ulpi en sí. Esto da como resultado que el directorio permanezca y evite que las pruebas posteriores (diferidas) se realicen correctamente. Cambie el nombre del directorio para que coincida con el dispositivo ulpi.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/09/2025

Vulnerabilidad en kernel de Linux (CVE-2024-26920)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: rastreo/activador: Corrección para devolver error si no se pudo asignar la instantánea. Corrección de Register_snapshot_trigger() para devolver código de error si no se pudo asignar una instantánea en lugar de 0 (éxito). A menos que eso, registrará la activación de la instantánea sin error.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/09/2025

Vulnerabilidad en Cyber Cafe Management System 1.0 (CVE-2024-30979)
Fecha de publicación:
17/04/2024
Idioma:
Español
Una vulnerabilidad de cross-site scripting en Cyber Cafe Management System 1.0 permite a un atacante remoto ejecutar código arbitrario a través del parámetro compname en edit-computer-details.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/04/2025

Vulnerabilidad en Ironic-image de OpenStack Ironic (CVE-2024-31463)
Fecha de publicación:
17/04/2024
Idioma:
Español
Ironic-image es una implementación de OpenStack Ironic empaquetada y configurada por Metal3. Cuando el modo de proxy inverso está habilitado mediante la variable `IRONIC_REVERSE_PROXY_SETUP` establecida en `true`, 1) las credenciales básicas HTTP se validan en el lado HTTPD en un contenedor separado, no en el servicio Ironic en sí y 2) Ironic escucha en la red host en un puerto privado 6388 en localhost de forma predeterminada. Como resultado, cuando se utiliza el modo de proxy inverso, cualquier usuario Pod o Unix local en el plano de control Node puede acceder a la API Ironic en el puerto privado sin autenticación. Un problema similar afecta a Ironic Inspector (`INSPECTOR_REVERSE_PROXY_SETUP` establecido en `true`), aunque el potencial de ataque es menor allí. Este problema afecta a los operadores que implementan ironic-image en el modo de proxy inverso, que es el modo recomendado cuando se usa TLS (también recomendado), con la variable `IRONIC_PRIVATE_PORT` desarmada o configurada en un valor numérico. En este caso, un atacante con privilegios suficientes para iniciar un pod en el plano de control con red de host puede acceder a la API Ironic y usarla para modificar la máquina básica, por ejemplo, aprovisionarla con una nueva imagen o cambiar la configuración del BIOS. Esta vulnerabilidad se soluciona en 24.1.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2024
Suscribirse a Vulnerabilidades