Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Google Chrome (CVE-2025-0612)
Fecha de publicación:
22/01/2025
Idioma:
Español
El acceso a la memoria fuera de los límites en la versión 8 de Google Chrome anterior a la versión 132.0.6834.110 permitió que un atacante remoto explotara potencialmente la corrupción del montón a través de una página HTML manipulado. (Gravedad de seguridad de Chromium: Alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
18/04/2025

Vulnerabilidad en Google Chrome (CVE-2025-0611)
Fecha de publicación:
22/01/2025
Idioma:
Español
La corrupción de objetos en la versión 8 de Google Chrome anterior a la 132.0.6834.110 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulado. (Gravedad de seguridad de Chromium: Alta)
Gravedad CVSS v3.1: ALTA
Última modificación:
18/04/2025

Vulnerabilidad en D-Link DSL-3782 v1.01 (CVE-2024-56914)
Fecha de publicación:
22/01/2025
Idioma:
Español
D-Link DSL-3782 v1.01 es vulnerable a desbordamiento de búfer en /New_GUI/ParentalControl.asp.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en Collision Avoidance Systems (CVE-2024-9310)
Fecha de publicación:
22/01/2025
Idioma:
Español
Al utilizar radios definidas por software y un flujo de procesamiento personalizado de baja latencia, se pueden transmitir señales de RF con datos de ubicación falsificados a objetivos aéreos. Esto puede provocar la aparición de aeronaves falsas en las pantallas y potencialmente activar avisos de resolución no deseados.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/01/2025

Vulnerabilidad en Collision Avoidance Systems (CVE-2024-11166)
Fecha de publicación:
22/01/2025
Idioma:
Español
En el caso de los sistemas TCAS II que utilizan transpondedores compatibles con MOPS anteriores a RTCA DO-181F, un atacante puede hacerse pasar por una estación terrestre y emitir una solicitud de identidad Comm-A. Esta acción puede establecer el control de nivel de sensibilidad (SLC) en el valor más bajo y desactivar el aviso de resolución (RA), lo que genera una condición de denegación de servicio.
Gravedad CVSS v4.0: ALTA
Última modificación:
22/01/2025

Vulnerabilidad en Cilium (CVE-2025-23047)
Fecha de publicación:
22/01/2025
Idioma:
Español
Cilium es una solución de seguridad, observabilidad y redes con un plano de datos basado en eBPF. Un valor de encabezado `Access-Control-Allow-Origin` predeterminado inseguro podría provocar la exposición de datos confidenciales para los usuarios de las versiones de Cilium 1.14.0 a 1.14.7, 1.15.0 a 1.15.11 y 1.16.0 a 1.16.4 que implementan Hubble UI mediante la CLI de Cilium o mediante el gráfico Helm de Cilium. Un usuario con acceso a una instancia de Hubble UI afectada por este problema podría filtrar detalles de configuración sobre el clúster de Kubernetes que Hubble UI está monitoreando, nombres de nodos incluida, direcciones IP y otros metadatos sobre cargas de trabajo y la configuración de red del clúster. Para que se aproveche esta vulnerabilidad, la víctima primero tendría que visitar una página maliciosa. Este problema se solucionó en Cilium v1.14.18, v1.15.12 y v1.16.5. Como workaround, los usuarios que implementan Hubble UI usando el gráfico Helm de Cilium directamente pueden eliminar los encabezados CORS de la plantilla Helm como se muestra en el parche de commit a3489f190ba6e87b5336ee685fb6c80b1270d06d.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2025

Vulnerabilidad en Cloudflare WARP (CVE-2025-0651)
Fecha de publicación:
22/01/2025
Idioma:
Español
La vulnerabilidad de administración de privilegios incorrecta en Cloudflare WARP en Windows permite la manipulación de archivos. El usuario con privilegios de sistema bajos puede crear un conjunto de enlaces simbólicos dentro de la carpeta C:\ProgramData\Cloudflare\warp-diag-partials. Después de activar la opción "Restablecer todas las configuraciones", el servicio WARP eliminará los archivos a los que apuntaba el enlace simbólico. Dado que el servicio WARP opera con privilegios de System, esto podría provocar la eliminación de archivos propiedad del usuario de System. Este problema afecta a WARP: antes de 2024.12.492.0.
Gravedad CVSS v4.0: MEDIA
Última modificación:
22/01/2025

Vulnerabilidad en Thermo Fisher Scientific Xcalibur y Thermo Foundation Instrument Control Software (CVE-2024-55957)
Fecha de publicación:
22/01/2025
Idioma:
Español
En Thermo Fisher Scientific Xcalibur anterior a 4.7 SP1 y Thermo Foundation Instrument Control Software (ICSW) anterior a 3.1 SP10, los paquetes de controladores tienen una vulnerabilidad de escalada de privilegios locales debido a permisos de control de acceso inadecuados en sistemas Windows.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/03/2025

Vulnerabilidad en Jenkins Folder-based Authorization Strategy (CVE-2025-24401)
Fecha de publicación:
22/01/2025
Idioma:
Español
El complemento Jenkins Folder-based Authorization Strategy 217.vd5b_18537403e y versiones anteriores no verifica que los permisos configurados para otorgarse estén habilitados, lo que potencialmente permite que los usuarios a los que se les otorgaron anteriormente (normalmente permisos opcionales, como General/Administrar) accedan a funciones a las que ya no tienen derecho.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2025

Vulnerabilidad en Jenkins Azure Service Fabric (CVE-2025-24402)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una vulnerabilidad Cross-Site Request Forgery (CSRF) en el complemento Jenkins Azure Service Fabric 1.6 y versiones anteriores permite a los atacantes conectarse a una URL de Service Fabric utilizando identificadores de credenciales especificados por el atacante obtenidos a través de otro método.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2025

Vulnerabilidad en Jenkins Azure Service Fabric (CVE-2025-24403)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una verificación de permiso faltante en el complemento Jenkins Azure Service Fabric 1.6 y versiones anteriores permite a los atacantes con permiso general/de lectura enumerar los identificadores de credenciales de Azure almacenadas en Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2025

Vulnerabilidad en GitLab de Jenkins (CVE-2025-24397)
Fecha de publicación:
22/01/2025
Idioma:
Español
Una verificación de permisos incorrecta en el complemento GitLab de Jenkins 1.9.6 y versiones anteriores permite a los atacantes con permiso global de Elemento/Configuración (aunque carecen del permiso de Elemento/Configuración en cualquier trabajo en particular) enumerar los ID de credenciales del token de API de GitLab y las credenciales de texto secreto almacenadas en Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2025
Suscribirse a Vulnerabilidades