Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2021-47509)
Fecha de publicación:
24/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ALSA: pcm: oss: Limitar el tamaño del período a 16 MB Establezca el límite práctico para el tamaño del período (el desplazamiento de fragmentos en OSS) en lugar de 31 bits completos; un valor demasiado grande podría provocar el agotamiento de la memoria, ya que también asignamos búferes temporales del tamaño del período. A partir de este parche, establecimos un límite de 16 MB, que debería cubrir todos los casos de uso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/09/2025

Vulnerabilidad en kernel de Linux (CVE-2021-47501)
Fecha de publicación:
24/05/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: i40e: Se corrigió la desreferencia del puntero NULL en i40e_dbg_dump_desc Al intentar volcar los descriptores VF VSI RX/TX usando debugfs, se produjo un bloqueo debido a la desreferencia del puntero NULL en i40e_dbg_dump_desc. Se agregó una verificación a i40e_dbg_dump_desc que verifica si el tipo de VSI es correcto para volcar descriptores RX/TX.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/01/2025

Vulnerabilidad en kernel de Linux (CVE-2021-47502)
Fecha de publicación:
24/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: códecs: wcd934x: maneja correctamente la lista de asignación de canales Actualmente, cada canal se agrega como lista a la lista de canales dai, sin embargo, existe el peligro de agregar el mismo canal a varias listas de canales dai, lo que termina corrompiendo la otra lista donde ya está agregada. Este parche garantiza que el canal esté realmente libre antes de agregarlo a la lista de canales dai y también garantiza que el canal esté en la lista antes de eliminarlo. Esta verificación faltaba anteriormente y no encontramos este problema ya que estábamos probando casos de uso muy simples con una secuencia de comandos de amixer.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/09/2025

Vulnerabilidad en kernel de Linux (CVE-2021-47503)
Fecha de publicación:
24/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: pm80xx: No llamar a scsi_remove_host() en pm8001_alloc() Llamar a scsi_remove_host() antes de scsi_add_host() produce un bloqueo: ERROR: desreferencia del puntero NULL del kernel, dirección: 00000000000000108 RIP : 0010:device_del+0x63/0x440 Seguimiento de llamadas: device_unregister+0x17/0x60 scsi_remove_host+0xee/0x2a0 pm8001_pci_probe+0x6ef/0x1b90 [pm80xx] local_pci_probe+0x3f/0x90 No podemos llamar a scsi_remove_host() en pm8001_ alloc() porque scsi_add_host() no lo ha hecho sido llamado todavía en ese momento. Árbol de llamadas a funciones: pm8001_pci_probe() | `- pm8001_pci_alloc() | | | `- pm8001_alloc() | | | `- scsi_remove_host() | `- scsi_add_host()
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2025

Vulnerabilidad en kernel de Linux (CVE-2021-47504)
Fecha de publicación:
24/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: io_uring: garantiza que task_work se ejecute como parte de las cancelaciones. Si cancelamos con éxito un elemento de trabajo pero ese elemento de trabajo debe procesarse a través de task_work, entonces podemos estar durmiendo ininterrumpidamente en io_uring_cancel_generic() y nunca procesarlo. Por lo tanto, no avanzamos y terminamos con un aviso de sueño ininterrumpido. Mientras esté allí, corrija un comentario que debería ser IFF, no IIF.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/09/2025

Vulnerabilidad en kernel de Linux (CVE-2021-47499)
Fecha de publicación:
24/05/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: iio: accel: kxcjk-1013: corrija la posible pérdida de memoria en la sonda y elimínela. Cuando el tipo ACPI es ACPI_SMO8500, data->dready_trig no se configurará, la memoria asignada por iio_triggered_buffer_setup( ) no se liberará y provocará una pérdida de memoria de la siguiente manera: objeto sin referencia 0xffff888009551400 (tamaño 512): comm "i2c-SMO8500-125", pid 911, jiffies 4294911787 (edad 83,852 s) volcado hexadecimal (primeros 32 bytes): 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 20 e2 e5 c0 ff ff ff ff .... .... ....... retroceso: [<0000000041ce75ee>] kmem_cache_alloc_trace+0x16d/0x360 [<000000000aeb17b0>] iio_kfifo_allocate+0x41/0x130 [kfifo_buf] [<000000004b40c1f5>] ed_buffer_setup_ext+0x2c/0x210 [industrialio_triggered_buffer] [ <000000004375b15f>] kxcjk1013_probe+0x10c3/0x1d81 [kxcjk_1013] Solucionarlo eliminando la condición data->dready_trig en la sonda y eliminándola.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/01/2025

Vulnerabilidad en kernel de Linux (CVE-2021-47500)
Fecha de publicación:
24/05/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iio: mma8452: corrección del cálculo de referencia del disparador El controlador mma8452 asigna directamente un disparador a la estructura iio_dev. El núcleo de IIO, cuando termine de usar este activador, llamará a `iio_trigger_put()` para reducir el recuento de referencias en 1. Sin el `iio_trigger_get()` coincidente en el controlador, el recuento de referencias puede llegar a 0 demasiado pronto, el activador se libera mientras aún está en se produce un uso y un use-after-free. Solucione este problema obteniendo una referencia al disparador antes de asignarlo al dispositivo IIO.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/01/2025

Vulnerabilidad en O2OA v8.3.8 (CVE-2024-35591)
Fecha de publicación:
24/05/2024
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitrarios en O2OA v8.3.8 permite a los atacantes ejecutar código arbitrario cargando un archivo PDF manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/09/2025

Vulnerabilidad en Jenkins Report Info (CVE-2024-5273)
Fecha de publicación:
24/05/2024
Idioma:
Español
El complemento Jenkins Report Info 1.2 y versiones anteriores no realiza la validación de la ruta del directorio del espacio de trabajo mientras sirve archivos de informes, lo que permite a los atacantes con permiso Item/Configure recuperar fallas de Surefire, violaciones de PMD, errores de Findbugs y errores de Checkstyle en el sistema de archivos del controlador editando el ruta del espacio de trabajo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/10/2025

Vulnerabilidad en Raingad IM v4.1.4 (CVE-2024-35593)
Fecha de publicación:
24/05/2024
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitraria en la función de vista previa de archivos de Raingad IM v4.1.4 permite a los atacantes ejecutar código arbitrario cargando un archivo PDF manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Box-IM v2.0 (CVE-2024-35592)
Fecha de publicación:
24/05/2024
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitraria en la función de carga de Box-IM v2.0 permite a los atacantes ejecutar código arbitrario cargando un archivo PDF manipulado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Xintongda OA v2023.12.30.1 (CVE-2024-35595)
Fecha de publicación:
24/05/2024
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitraria en la función Vista previa de archivos de Xintongda OA v2023.12.30.1 permite a los atacantes ejecutar código arbitrario cargando un archivo PDF manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades