Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en NEC Corporation Aterm (CVE-2025-0354)
Fecha de publicación:
15/01/2025
Idioma:
Español
La vulnerabilidad de Cross-Site Scripting en NEC Corporation Aterm WG2600HS Ver.1.7.2 y anteriores, WG2600HP4 Ver.1.4.2 y anteriores, WG2600HM4 Ver.1.4.2 y anteriores, WG2600HS2 Ver.1.3.2 y anteriores, WX3000HP Ver.2.4.2 y anteriores y WX4200D5 Ver.1.2.4 y anteriores permite a un atacante inyectar un script arbitrario a través de Internet.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2025

Vulnerabilidad en NEC Corporation Aterm WX1500HP y WX3600HP (CVE-2025-0356)
Fecha de publicación:
15/01/2025
Idioma:
Español
NEC Corporation Aterm WX1500HP Ver.1.4.2 y anteriores y WX3600HP Ver.1.5.3 y anteriores permite a un atacante ejecutar comandos arbitrarios del sistema operativo a través de Internet.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/02/2025

Vulnerabilidad en Event Registration Calendar de vcita para WordPress (CVE-2024-11870)
Fecha de publicación:
15/01/2025
Idioma:
Español
El complemento Event Registration Calendar de vcita para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los códigos cortos del complemento en todas las versiones hasta la 1.4.0 incluida, debido a una limpieza de entrada y escape de salida insuficiente en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2025

Vulnerabilidad en Genivia gSOAP (CVE-2024-4227)
Fecha de publicación:
15/01/2025
Idioma:
Español
En Genivia gSOAP con una configuración específica, un atacante remoto no autenticado puede generar una alta carga de CPU al forzar el análisis de un XML que tiene atributos de identificación duplicados, lo que puede conducir a un DoS.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/01/2025

Vulnerabilidad en ViewMedica 9 para WordPress (CVE-2024-13394)
Fecha de publicación:
15/01/2025
Idioma:
Español
El complemento ViewMedica 9 para WordPress es vulnerable a Cross-Site Scripting almacenado a través del código corto 'viewmedica' del complemento en todas las versiones hasta la 1.4.15 incluida, debido a una limpieza de entrada y escape de salida insuficiente en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2025

Vulnerabilidad en Linux Ratfor (CVE-2024-55577)
Fecha de publicación:
15/01/2025
Idioma:
Español
Existe una vulnerabilidad de desbordamiento de búfer basado en pila en Linux Ratfor 1.06 y versiones anteriores. Cuando el software procesa un archivo especialmente manipulado por un atacante, se puede ejecutar código arbitrario. Como resultado, el atacante puede obtener o alterar información del entorno del usuario o hacer que el entorno del usuario se vuelva inutilizable.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/01/2025

Vulnerabilidad en Mongoose (CVE-2025-23061)
Fecha de publicación:
15/01/2025
Idioma:
Español
Mongoose anterior a la versión 8.9.5 puede usar incorrectamente un filtro $where anidado con una coincidencia populate(), lo que provoca una inyección de búsqueda. NOTA: este problema existe debido a una corrección incompleta de CVE-2024-53900.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/01/2025

Vulnerabilidad en Dell Display Manager (CVE-2025-22394)
Fecha de publicación:
15/01/2025
Idioma:
Español
Dell Display Manager, versiones anteriores a la 2.3.2.18, contiene una vulnerabilidad de Time-of-check Time-of-use (TOCTOU). Un atacante con pocos privilegios y acceso local podría aprovechar esta vulnerabilidad, lo que provocaría la ejecución de código y posiblemente la escalada de privilegios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

Vulnerabilidad en Dell Display Manager (CVE-2025-21101)
Fecha de publicación:
15/01/2025
Idioma:
Español
Las versiones anteriores a la 2.3.2.20 de Dell Display Manager contienen una vulnerabilidad de condición de ejecución. Un usuario malintencionado local podría aprovechar esta vulnerabilidad durante la instalación, lo que provocaría la eliminación arbitraria de carpetas o archivos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2025

Vulnerabilidad en Yubico pam-u2f (CVE-2025-23013)
Fecha de publicación:
15/01/2025
Idioma:
Español
En Yubico pam-u2f anterior a la versión 1.3.1, a veces puede producirse una escalada de privilegios locales. Este producto implementa un módulo de autenticación conectable (PAM) que se puede implementar para admitir la autenticación mediante una YubiKey u otros autenticadores compatibles con FIDO en macOS o Linux. Este paquete de software tiene un problema que permite omitir la autenticación en algunas configuraciones. Un atacante necesitaría poder acceder al sistema como un usuario sin privilegios. Según la configuración, el atacante también podría necesitar saber la contraseña del usuario.
Gravedad CVSS v4.0: ALTA
Última modificación:
03/02/2025

Vulnerabilidad en Car Demon para WordPress (CVE-2024-13334)
Fecha de publicación:
15/01/2025
Idioma:
Español
El complemento Car Demon para WordPress es vulnerable a Cross-Site Scripting reflejado a través del parámetro 'search_condition' en todas las versiones hasta la 1.8.1 incluida, debido a una limpieza de entrada y un escape de salida insuficientes. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2025

Vulnerabilidad en Swift ASN.1 (CVE-2025-0343)
Fecha de publicación:
15/01/2025
Idioma:
Español
Swift ASN.1 puede bloquearse al analizar ciertas construcciones BER/DER. Este bloqueo se debe a una confusión en la propia librería ASN.1, que supone que ciertos objetos solo se pueden proporcionar en formas construidas o primitivas, y activará un error de condición previa si no se cumple esa restricción. Es importante destacar que, en realidad, se requiere que estas restricciones sean verdaderas en DER, pero esa corrección no se aplicó en el lado del analizador del nodo inicial, por lo que fue incorrecto confiar en ella más adelante en la decodificación, que es lo que hizo la librería. Estos bloqueos se pueden activar al analizar cualquier objeto con formato DER/BER. No hay ningún problema de seguridad de la memoria aquí: el bloqueo es elegante desde el entorno de ejecución de Swift. El impacto de esto es que se puede usar como un vector de denegación de servicio al analizar datos BER/DER de fuentes desconocidas, por ejemplo, al analizar certificados TLS.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2025
Suscribirse a Vulnerabilidades