Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2024-39282)
Fecha de publicación:
15/01/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: wwan: t7xx: Solución del problema de tiempo de espera del comando FSM Cuando el controlador procesa el comando de cambio de estado interno, utiliza un hilo asincrónico para procesar la operación del comando. Si el hilo principal detecta que se agotó el tiempo de espera de la tarea, el hilo asincrónico entrará en pánico al ejecutar la notificación de finalización porque se liberó el objeto de finalización del hilo principal. ERROR: no se puede gestionar el error de página para la dirección: fffffffffffffff8 PGD 1f283a067 P4D 1f283a067 PUD 1f283c067 PMD 0 Oops: 0000 [#1] PREEMPT SMP NOPTI RIP: 0010:complete_all+0x3e/0xa0 [...] Seguimiento de llamadas: ? __die_body+0x68/0xb0 ? page_fault_oops+0x379/0x3e0 ? exc_page_fault+0x69/0xa0 ? asm_exc_page_fault+0x22/0x30 ? complete_all+0x3e/0xa0 fsm_main_thread+0xa3/0x9c0 [mtk_t7xx (HASH:1400 5)] ? __pfx_autoremove_wake_function+0x10/0x10 kthread+0xd8/0x110 ? __pfx_fsm_main_thread+0x10/0x10 [mtk_t7xx (HASH:1400 5)] ? __pfx_kthread+0x10/0x10 ret_from_fork+0x38/0x50 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1b/0x30 [...] CR2: fffffffffffffff8 ---[ fin del seguimiento 000000000000000 ]--- Utilice el contador de referencia para garantizar una liberación segura como sugiere Sergey: https://lore.kernel.org/all/da90f64c-260a-4329-87bf-1f9ff20a5951@gmail.com/
Gravedad: Pendiente de análisis
Última modificación:
15/01/2025

Vulnerabilidad en kernel de Linux (CVE-2024-36476)
Fecha de publicación:
15/01/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/rtrs: garantizar que 'ib_sge list' sea accesible Mueva la declaración de la variable 'ib_sge list' fuera del bloque 'always_invalidate' para garantizar que permanezca accesible para su uso en toda la función. Anteriormente, 'ib_sge list' se declaraba dentro del bloque 'always_invalidate', lo que limitaba su accesibilidad y luego causaba un 'BUG: kernel NULL pointer dereference'[1]. ? __die_body.cold+0x19/0x27 ? page_fault_oops+0x15a/0x2d0 ? search_module_extables+0x19/0x60 ? search_bpf_extables+0x5f/0x80 ? exc_page_fault+0x7e/0x180 ? asm_exc_page_fault+0x26/0x30 ? rxe_pool_get_index+0x4b/0x80 [rdma_rxe] copy_data+0xa5/0x230 [rdma_rxe] rxe_requester+0xd9b/0xf70 [rdma_rxe] ? finish_task_switch.isra.0+0x99/0x2e0 rxe_sender+0x13/0x40 [rdma_rxe] do_task+0x68/0x1e0 [rdma_rxe] process_one_work+0x177/0x330 worker_thread+0x252/0x390 ? __pfx_worker_thread+0x10/0x10 Este cambio garantiza que la variable esté disponible para operaciones posteriores que la requieran. [1] https://lore.kernel.org/linux-rdma/6a1f3e8f-deb0-49f9-bc69-a9b03ecfcda7@fujitsu.com/
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/01/2025

Vulnerabilidad en Elementor Addon Elements para WordPress (CVE-2024-13215)
Fecha de publicación:
15/01/2025
Idioma:
Español
El complemento Elementor Addon Elements para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 1.13.10 incluida a través de la función "render" en modules/modal-popup/widgets/modal-popup.php. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, extraigan datos confidenciales de plantillas privadas, pendientes, programadas y en borrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/01/2025

Vulnerabilidad en FreeIPA (CVE-2024-11029)
Fecha de publicación:
15/01/2025
Idioma:
Español
Se encontró un fallo en la auditoría de la API de FreeIPA, donde envía toda la línea de comandos de FreeIPA a journalctl. Como consecuencia, durante el proceso de instalación de FreeIPA, filtra inadvertidamente las credenciales de usuario administrativo, incluida la contraseña de administrador, a la base de datos del diario. En el peor de los casos, donde el registro del diario está centralizado, los usuarios con acceso a él pueden tener acceso indebido a las credenciales de administrador de FreeIPA.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2025

Vulnerabilidad en NitroPack para WordPress (CVE-2024-11848)
Fecha de publicación:
15/01/2025
Idioma:
Español
El complemento NitroPack para WordPress es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidad faltante en la acción AJAX 'nitropack_dismiss_notice_forever' en todas las versiones hasta la 1.17.0 inclusive. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, actualicen opciones arbitrarias a un valor fijo de '1' que puede activar ciertas opciones (por ejemplo, habilitar el registro de usuario) o modificar ciertas opciones de una manera que conduzca a una condición de denegación de servicio.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/01/2025

Vulnerabilidad en NitroPack para WordPress (CVE-2024-11851)
Fecha de publicación:
15/01/2025
Idioma:
Español
El complemento NitroPack para WordPress es vulnerable a actualizaciones transitorias arbitrarias no autorizadas debido a una verificación de capacidad faltante en la función nitropack_rml_notification en todas las versiones hasta la 1.17.0 incluida. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, actualicen valores transitorios arbitrarios. Tenga en cuenta que estos valores transitorios solo se pueden actualizar a números enteros y no a valores arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2025

Vulnerabilidad en PDF para WPForms + Drag and Drop Template Builder para WordPress (CVE-2024-12593)
Fecha de publicación:
15/01/2025
Idioma:
Español
El complemento PDF para WPForms + Drag and Drop Template Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del código corto yeepdf_dotab del complemento en todas las versiones hasta la 4.6.0 incluida debido a una desinfección de entrada y a un escape de salida insuficiente en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2025

Vulnerabilidad en Google Chrome (CVE-2025-0439)
Fecha de publicación:
15/01/2025
Idioma:
Español
Race in Frames en Google Chrome anterior a la versión 132.0.6834.83 permitía que un atacante remoto que convencía a un usuario para que realizara gestos específicos de la interfaz de usuario realizara una suplantación de la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/04/2025

Vulnerabilidad en Google Chrome (CVE-2025-0440)
Fecha de publicación:
15/01/2025
Idioma:
Español
Una implementación inadecuada en Pantalla completa en Google Chrome en Windows anterior a la versión 132.0.6834.83 permitió que un atacante remoto suplantara la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/04/2025

Vulnerabilidad en Google Chrome (CVE-2025-0441)
Fecha de publicación:
15/01/2025
Idioma:
Español
Una implementación inadecuada de Fenced Frames en Google Chrome anterior a la versión 132.0.6834.83 permitió que un atacante remoto obtuviera información potencialmente confidencial del sistema a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/04/2025

Vulnerabilidad en Google Chrome (CVE-2025-0442)
Fecha de publicación:
15/01/2025
Idioma:
Español
Una implementación inadecuada en Pagos en Google Chrome anterior a la versión 132.0.6834.83 permitió que un atacante remoto convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario para realizar una suplantación de la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/04/2025

Vulnerabilidad en Google Chrome (CVE-2025-0443)
Fecha de publicación:
15/01/2025
Idioma:
Español
La validación de datos insuficiente en las extensiones de Google Chrome anteriores a la versión 132.0.6834.83 permitió que un atacante remoto convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario para realizar una escalada de privilegios a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2025
Suscribirse a Vulnerabilidades