Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en pkp ojs (CVE-2024-7902)
Fecha de publicación:
17/08/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en pkp ojs hasta 3.4.0-6 y clasificada como problemática. Una función desconocida del archivo /login/signOut es afectada por este problema. La manipulación del argumento fuente con la entrada .example.com conduce a una redirección abierta. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2024

Vulnerabilidad en Scada-LTS 2.7.8 (CVE-2024-7901)
Fecha de publicación:
17/08/2024
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Scada-LTS 2.7.8 y clasificada como problemática. Una función desconocida del archivo /Scada-LTS/app.shtm#/alarms/Scada del componente Message Handler es afectada por esta vulnerabilidad. La manipulación conduce a Cross-Site Scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2024

Vulnerabilidad en xiaohe4966 TpMeCMS 1.3.3.2 (CVE-2024-7900)
Fecha de publicación:
17/08/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en xiaohe4966 TpMeCMS 1.3.3.2 y clasificada como problemática. Una función desconocida del archivo /h.php/general/config?ref=addtabs del componente Basic Configuration Handler es afectada por esta vulnerabilidad. La manipulación del argumento Nombre del sitio/Beian/Dirección de contacto/derechos de autor/soporte técnico conduce a Cross-Site Scripting. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2024

Vulnerabilidad en InnoCMS 0.3.1 (CVE-2024-7899)
Fecha de publicación:
17/08/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en InnoCMS 0.3.1 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /panel/pages/1/edit del componente Backend. La manipulación conduce a la inyección de código. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/08/2024

Vulnerabilidad en Tosei Online Store Management System 4.02/4.03/4.04 (CVE-2024-7898)
Fecha de publicación:
17/08/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en Tosei Online Store Management System 4.02/4.03/4.04 y clasificada como crítica. Esta vulnerabilidad afecta a código desconocido del componente Backend. La manipulación conduce al uso de credenciales predeterminadas. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/09/2024

Vulnerabilidad en Tosei Online Store Management System (CVE-2024-7897)
Fecha de publicación:
17/08/2024
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Tosei Online Store Management System 4.02/4.03/4.04 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /cgi-bin/tosei_kikai.php. La manipulación del argumento kikaibangou conduce a la inyección de comandos. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/09/2024

Vulnerabilidad en Tosei Online Store Management System (CVE-2024-7896)
Fecha de publicación:
17/08/2024
Idioma:
Español
Se encontró una vulnerabilidad en Tosei Online Store Management System 4.02/4.03/4.04. Ha sido calificada como crítica. Una función desconocida del archivo /cgi-bin/p1_ftpserver.php es afectada por esta vulnerabilidad. La manipulación del argumento adr_txt conduce a la inyección de comandos. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/09/2024

Vulnerabilidad en ARMember – Membership Plugin, Content Restriction, Member Levels, User Profile & User signup para WordPress (CVE-2024-7703)
Fecha de publicación:
17/08/2024
Idioma:
Español
El complemento ARMember – Membership Plugin, Content Restriction, Member Levels, User Profile & User signup para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de cargas de archivos SVG en todas las versiones hasta la 4.0.37 incluida debido a una desinfección de entrada insuficiente y salida que se escapa. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en kernel de Linux (CVE-2024-43857)
Fecha de publicación:
17/08/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: f2fs: corrige el error de referencia nula al comprobar el final de la zona. Este parche corrige un puntero potencialmente nulo al que accede is_end_zone_blkaddr() que comprueba el último bloque de una zona cuando f2fs está montado como dispositivo único.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/12/2024

Vulnerabilidad en kernel de Linux (CVE-2024-43858)
Fecha de publicación:
17/08/2024
Idioma:
Español
En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: jfs: Reparar array-index-out-of-bounds en diFree
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2026

Vulnerabilidad en kernel de Linux (CVE-2024-43859)
Fecha de publicación:
17/08/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: F2FS: Correcto para truncar los bloques preallocados en F2FS_FILE_OPEN () Chenyuwen informa un error F2FS a continuación: Ineable para manejar el kernel nulo dreference en la dirección virtual 000000000011 FSCRYPT_SET_BIO_CRYPT_ POTER_ GACT/0X1 ab_read_bio+0x78 /0x208 f2fs_submit_page_read+0x44/0x154 f2fs_get_read_data_page+0x288/0x5f4 f2fs_get_lock_data_page+0x60/0x190 truncate_partial_data_page+0x108/0x4fc f2fs_do_truncate_blocks+0x344/0x5f0 f2fs_truncate_blocks+0x6c/0x134 f2fs_truncate+0xd8/0x200 f2fs_iget+0x20c/0x5ac do_garbage_collect+0x5d0/0xf6c f2fs_gc+0x22c /0x6a4 f2fs_disable_checkpoint+0xc8/0x310 f2fs_fill_super+0x14bc/0x1764 mount_bdev+0x1b4/0x21c f2fs_mount+0x20/0x30 Legacy_get_tree+0x50/0xbc vfs_get_tree+0x5c/0x1b0 8/0x4cc path_mount+0x33c/0x5fc __arm64_sys_mount+0xcc/0x15c invoke_syscall+0x60 /0x150 el0_svc_common+0xb8/0xf8 do_el0_svc+0x28/0xa0 el0_svc+0x24/0x84 el0t_64_sync_handler+0x88/0xec Es porque inode.i_crypt_info no se inicializa durante la siguiente ruta: - mount - f2fs_fill_super - f2fs_disable_checkpoint - fs_gc - f2fs_iget - f2fs_truncate Entonces, reubique el truncamiento de bloques preasignados a f2fs_file_open(), después de fscrypt_file_open().
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-43860)
Fecha de publicación:
17/08/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: remoteproc: imx_rproc: omitir la región de memoria cuando el valor del nodo es NULL En imx_rproc_addr_init() "nph = of_count_phandle_with_args()" solo cuenta el número de phandles. Pero los phandles pueden estar vacíos. Por lo tanto, of_parse_phandle() en el bucle de análisis (0 < a < nph) puede devolver NULL, que luego se desreferencia. Ajuste este problema agregando una verificación de retorno NULL. Encontrado por el Centro de verificación de Linux (linuxtesting.org) con SVACE. [Título fijo para que se ajuste a los 70-75 caracteres prescritos]
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025
Suscribirse a Vulnerabilidades