Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Qualcomm, Inc. (CVE-2024-21482)

Fecha de publicación:
01/07/2024
Idioma:
Español
Corrupción de la memoria durante el proceso de arranque seguro, cuando se utiliza el comando `bootm`, omite la autenticación de la imagen kernel/rootfs.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2024

Vulnerabilidad en Qualcomm, Inc. (CVE-2024-21460)

Fecha de publicación:
01/07/2024
Idioma:
Español
Divulgación de información cuando ASLR reubica las partes IMEM y DDR segura como un solo fragmento en el espacio de direcciones virtuales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2024

Vulnerabilidad en Qualcomm, Inc. (CVE-2024-21461)

Fecha de publicación:
01/07/2024
Idioma:
Español
Corrupción de la memoria al realizar la operación de finalización de HMAC cuando Keymaster libera el contexto.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2024

Vulnerabilidad en Qualcomm, Inc. (CVE-2024-21462)

Fecha de publicación:
01/07/2024
Idioma:
Español
DOS transitorio mientras se carga el archivo TA ELF.
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2024

Vulnerabilidad en Qualcomm, Inc. (CVE-2024-21465)

Fecha de publicación:
01/07/2024
Idioma:
Español
Corrupción de la memoria al procesar el blob de claves pasado por el usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2024

Vulnerabilidad en Qualcomm, Inc. (CVE-2023-43554)

Fecha de publicación:
01/07/2024
Idioma:
Español
Corrupción de la memoria al procesar el controlador IOCTL en FastRPC.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/08/2024

Vulnerabilidad en Qualcomm, Inc. (CVE-2024-21456)

Fecha de publicación:
01/07/2024
Idioma:
Español
Divulgación de información al analizar el frame de baliza en STA.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/08/2024

Vulnerabilidad en Qualcomm, Inc. (CVE-2024-21457)

Fecha de publicación:
01/07/2024
Idioma:
Español
Divulgación de información mientras se maneja IE de enlace múltiple en un frame de baliza.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2024

Vulnerabilidad en Qualcomm, Inc. (CVE-2024-21458)

Fecha de publicación:
01/07/2024
Idioma:
Español
Divulgación de información durante el manejo del frame de acción de consulta SA.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2024

Vulnerabilidad en SOKRATES SOWA OPAC (CVE-2024-6050)

Fecha de publicación:
01/07/2024
Idioma:
Español
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web en el software SOKRATES SOWA OPAC permite un Cross-Site Scripting (XSS) Reflejado. Un atacante podría engañar a alguien para que utilice una URL manipulada, lo que provocará que se ejecute un script en el navegador del usuario. Este problema afecta al software SOWA OPAC en las versiones 4.0 anteriores a la 4.9.10 y 5.0 anteriores a la 6.2.12.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/08/2024

Vulnerabilidad en GeoServer (CVE-2024-24749)

Fecha de publicación:
01/07/2024
Idioma:
Español
GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. Antes de las versiones 2.23.5 y 2.24.3, si GeoServer se implementa en el sistema operativo Windows utilizando un servidor de aplicaciones web Apache Tomcat, es posible omitir la validación de entrada existente en la clase GeoWebCache ByteStreamController y leer recursos de classpath arbitrarios con un nombre de archivo específico. extensiones. Si GeoServer también se implementa como un archivo web utilizando el directorio de datos integrado en el archivo `geoserver.war` (en lugar de un directorio de datos externo), probablemente será posible leer recursos específicos para obtener privilegios de administrador. Sin embargo, es muy poco probable que los entornos de producción utilicen el directorio de datos integrado ya que, dependiendo de cómo se implemente GeoServer, se borrará y se reinstalará (lo que también restablecería la contraseña predeterminada) cada vez que se reinicie el servidor o cada vez que se instala un nuevo GeoServer WAR y por lo tanto es difícil de mantener. Siempre se utilizará un directorio de datos externo si GeoServer se ejecuta en modo independiente (a través de un instalador o un binario). Las versiones 2.23.5 y 2.24.3 contienen un parche para el problema. Algunas soluciones están disponibles. Se puede cambiar de un entorno Windows a un entorno Linux; o cambiar de Apache Tomcat al servidor de aplicaciones Jetty. También se puede desactivar el acceso anónimo a las páginas de estado y administración de GeoWebCache integradas.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/12/2024

Vulnerabilidad en phpok 6.4.003 (CVE-2024-38953)

Fecha de publicación:
01/07/2024
Idioma:
Español
phpok 6.4.003 contiene una vulnerabilidad de cross-site scripting (XSS) en el método ok_f() en el archivo framework/api/upload_control.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2025