Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Tenda AC15 (CVE-2024-32303)
Fecha de publicación:
17/04/2024
Idioma:
Español
El firmware Tenda AC15 v15.03.20_multi, v15.03.05.19 y v15.03.05.18 tiene una vulnerabilidad de desbordamiento de pila ubicada a través del parámetro PPW en la función fromWizardHandle.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/06/2025

Vulnerabilidad en Tenda A18 v15.03.05.05 (CVE-2024-32305)
Fecha de publicación:
17/04/2024
Idioma:
Español
El firmware Tenda A18 v15.03.05.05 tiene una vulnerabilidad de desbordamiento de pila ubicada a través del parámetro PPW en la función fromWizardHandle.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en Tenda AC500 V2.0.1.9(1307) (CVE-2024-32314)
Fecha de publicación:
17/04/2024
Idioma:
Español
El firmware Tenda AC500 V2.0.1.9(1307) contiene una vulnerabilidad de inyección de comandos en la función formexeCommand a través del parámetro cmdinput.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/03/2025

Vulnerabilidad en kernel de Linux (CVE-2024-26914)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/amd/display: corrige el tamaño incorrecto de la matriz mpc_combine [por qué] MAX_SURFACES es por flujo, mientras que MAX_PLANES es por asic. mpc_combine es una matriz que registra todos los planos por asic. Por lo tanto, se debe utilizar MAX_PLANES como tamaño de matriz. El uso de MAX_SURFACES provoca el desbordamiento de la matriz cuando hay más de 3 planos. [cómo] Utilice MAX_PLANES para el tamaño de matriz mpc_combine.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/11/2025

Vulnerabilidad en Ironic-image de OpenStack Ironic (CVE-2024-31463)
Fecha de publicación:
17/04/2024
Idioma:
Español
Ironic-image es una implementación de OpenStack Ironic empaquetada y configurada por Metal3. Cuando el modo de proxy inverso está habilitado mediante la variable `IRONIC_REVERSE_PROXY_SETUP` establecida en `true`, 1) las credenciales básicas HTTP se validan en el lado HTTPD en un contenedor separado, no en el servicio Ironic en sí y 2) Ironic escucha en la red host en un puerto privado 6388 en localhost de forma predeterminada. Como resultado, cuando se utiliza el modo de proxy inverso, cualquier usuario Pod o Unix local en el plano de control Node puede acceder a la API Ironic en el puerto privado sin autenticación. Un problema similar afecta a Ironic Inspector (`INSPECTOR_REVERSE_PROXY_SETUP` establecido en `true`), aunque el potencial de ataque es menor allí. Este problema afecta a los operadores que implementan ironic-image en el modo de proxy inverso, que es el modo recomendado cuando se usa TLS (también recomendado), con la variable `IRONIC_PRIVATE_PORT` desarmada o configurada en un valor numérico. En este caso, un atacante con privilegios suficientes para iniciar un pod en el plano de control con red de host puede acceder a la API Ironic y usarla para modificar la máquina básica, por ejemplo, aprovisionarla con una nueva imagen o cambiar la configuración del BIOS. Esta vulnerabilidad se soluciona en 24.1.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Tenda AC500 v.2.0.1.9 (CVE-2023-46060)
Fecha de publicación:
17/04/2024
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en Tenda AC500 v.2.0.1.9 permite a un atacante remoto provocar una denegación de servicio a través del parámetro de puerto en el componente goform/setVlanInfo.
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2025

Vulnerabilidad en kernel de Linux (CVE-2023-52645)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pmdomain: mediatek: corrige las condiciones de ejecución con genpd, si los dominios de energía se registran primero con genpd y *después de eso* el controlador intenta encenderlos en la secuencia de sonda, entonces es Es posible que se produzca una condición de ejecución si genpd intenta encenderlos al mismo tiempo. Lo mismo es válido para apagarlos antes de cancelar su registro en genpd. Intente arreglar las condiciones de ejecución eliminando primero los dominios de genpd y *después* apagando los dominios. También primero encienda los dominios y *después* regístrelos en genpd.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/04/2024

Vulnerabilidad en kernel de Linux (CVE-2024-26910)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: ipset: corrige la regresión de rendimiento en la operación de intercambio El parche "netfilter: ipset: corrige la condición de ejecución entre swap/destroy y add/del/test del lado del kernel", commit 28628fa9 corrige un condición de ejecución. Pero elsync_rcu() agregado a la función swap la ralentiza innecesariamente: se puede mover con seguridad para destruir y usar call_rcu() en su lugar. Eric Dumazet señaló que simplemente llamar a las funciones de destrucción como devolución de llamada de rcu no funciona: los conjuntos con tiempo de espera usan recolectores de basura que necesitan cancelarse en la destrucción y que pueden esperar. Por lo tanto, las funciones de destrucción se dividen en dos: cancelar los recolectores de basura de forma segura al ejecutar el comando recibido por netlink y mover la parte restante solo a la devolución de llamada de rcu.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/11/2024

Vulnerabilidad en kernel de Linux (CVE-2024-26911)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/buddy: corrige el código de manejo de errores alloc_range() Pocos usuarios han observado daños en la pantalla cuando inician la máquina en KDE Plasma o juegan juegos. Hemos causado el problema de que cada vez que alloc_range() no podía encontrar los bloques de memoria requeridos, la función devolvía ÉXITO en algunos de los casos de esquina. El enfoque correcto sería que si el tamaño total asignado es menor que el tamaño requerido, la función debería devolver -ENOSPC.
Gravedad CVSS v3.1: BAJA
Última modificación:
29/04/2024

Vulnerabilidad en kernel de Linux (CVE-2024-26912)
Fecha de publicación:
17/04/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/nouveau: corrige varias fugas del búfer DMA Nouveau administra los buffers DMA GSP-RM con objetos nvkm_gsp_mem. Varios de estos búferes nunca se desasignan. Algunos de ellos se pueden desasignar inmediatamente después de que se inicializa GSP-RM, pero el resto debe permanecer hasta que se descargue el controlador. También proteja aún más estos objetos envenenando el búfer y limpiando el objeto nvkm_gsp_mem cuando se desasigna. El envenenamiento del búfer debería provocar un error (o bloqueo) de GSP-RM si intenta acceder al búfer después de haberlo desasignado, porque nos equivocamos acerca de cuándo es seguro desasignarlo. Finalmente, cambie el campo mem->size a size_t porque es el mismo tipo que espera dma_alloc_coherent.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/04/2024

Vulnerabilidad en Umbraco (CVE-2024-29035)
Fecha de publicación:
17/04/2024
Idioma:
Español
Umbraco es un CMS ASP.NET. Los registros de webhooks fallidos están disponibles cuando la solución no está en modo de depuración. Esos registros pueden contener información crítica. Esta vulnerabilidad se soluciona en 13.1.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2025

Vulnerabilidad en Solana (CVE-2024-30253)
Fecha de publicación:
17/04/2024
Idioma:
Español
@solana/web3.js es el SDK de JavaScript de Solana. El uso de entradas particulares con `@solana/web3.js` resultará en un agotamiento de la memoria (OOM). Si tiene un servidor, cliente, producto móvil o de escritorio que acepta entradas que no son de confianza para usar con `@solana/web3.js`, su aplicación/servicio puede fallar, lo que resulta en una pérdida de disponibilidad. Esta vulnerabilidad se solucionó en 1.0.1, 1.10.2, 1.11.1, 1.12.1, 1.1.2, 1.13.1, 1.14.1, 1.15.1, 1.16.2, 1.17.1, 1.18.1, 1.19. .1, 1.20.3, 1.21.1, 1.22.1, 1.23.1, 1.24.3, 1.25.1, 1.26.1, 1.27.1, 1.28.1, 1.2.8, 1.29.4, 1.30.3 , 1.31.1, 1.3.1, 1.32.3, 1.33.1, 1.34.1, 1.35.2, 1.36.1, 1.37.3, 1.38.1, 1.39.2, 1.40.2, 1.41.11, 1.4 .1, 1.42.1, 1.43.7, 1.44.4, 1.45.1, 1.46.1, 1.47.5, 1.48.1, 1.49.1, 1.50.2, 1.51.1, 1.5.1, 1.52.1 , 1.53.1, 1.54.2, 1.55.1, 1.56.3, 1.57.1, 1.58.1, 1.59.2, 1.60.1, 1.61.2, 1.6.1, 1.62.2, 1.63.2, 1.64 .1, 1.65.1, 1.66.6, 1.67.3, 1.68.2, 1.69.1, 1.70.4, 1.71.1, 1.72.1, 1.7.2, 1.73.5, 1.74.1, 1.75.1 , 1.76.1, 1.77.4, 1.78.8, 1.79.1, 1.80.1, 1.81.1, 1.8.1, 1.82.1, 1.83.1, 1.84.1, 1.85.1, 1.86.1, 1.87 .7, 1.88.1, 1.89.2, 1.90.2, 1.9.2 y 1.91.3.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades