Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en GeoVision GV-ASWeb (CVE-2025-26264)
Fecha de publicación:
27/02/2025
Idioma:
Español
GeoVision GV-ASWeb con la versión 6.1.2.0 o anterior contiene una vulnerabilidad de ejecución remota de código (RCE) en su función de configuración de notificaciones. Un atacante autenticado con privilegios de "Configuración del sistema" en ASWeb puede aprovechar esta falla para ejecutar comandos arbitrarios en el servidor, lo que provocaría un compromiso total del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/03/2025

Vulnerabilidad en Draytek Routers (CVE-2024-51138)
Fecha de publicación:
27/02/2025
Idioma:
Español
Se ha identificado una vulnerabilidad de desbordamiento de búfer basada en pila en la funcionalidad de análisis de URL del servidor STUN TR069. Vigor165/166 4.2.7 y anteriores; Vigor2620/LTE200 3.9.8.9 y anteriores; Vigor2860/2925 3.9.8 y anteriores; Vigor2862/2926 3.9.9.5 y anteriores; Vigor2133/2762/2832 3.9.9 y anteriores; Vigor2135/2765/2766 4.4.5. y anteriores; Vigor2865/2866/2927 4.4.5.3 y anteriores; Vigor2962 4.3.2.8 y anteriores; Vigor3912 4.3.6.1 y anteriores; Vigor3910 4.4.3.1 y anteriores se ha identificado una vulnerabilidad de desbordamiento de búfer basada en pila en la funcionalidad de análisis de URL del servidor STUN TR069. Esta falla se produce debido a una verificación insuficiente de los límites de la cantidad de parámetros de URL, lo que permite a un atacante aprovechar el desbordamiento mediante el envío de una solicitud manipulada con fines malintencionados. En consecuencia, un atacante remoto puede ejecutar código arbitrario con privilegios elevados.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/05/2025

Vulnerabilidad en Draytek Routers (CVE-2024-51139)
Fecha de publicación:
27/02/2025
Idioma:
Español
Buffer Overflow vulnerability in Vigor2620/LTE200 3.9.8.9 and earlier and Vigor2860/2925 3.9.8 and earlier and Vigor2862/2926 3.9.9.5 and earlier and Vigor2133/2762/2832 3.9.9 and earlier and Vigor165/166 4.2.7 and earlier and Vigor2135/2765/2766 4.4.5.1 and earlier and Vigor2865/2866/2927 4.4.5.3 and earlier and Vigor2962/3910 4.3.2.8/4.4.3.1 and earlier and Vigor3912 4.3.6.1 and earlier allows a remote attacker to execute arbitrary code via the CGI parser's handling of the "Content-Length" header of HTTP POST requests.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/05/2025

Vulnerabilidad en GFast (CVE-2024-55160)
Fecha de publicación:
27/02/2025
Idioma:
Español
Se descubrió que GFast entre v2 y v3.2 contenía una vulnerabilidad de inyección SQL a través del parámetro OrderBy en /system/operLog/list.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/07/2025

Vulnerabilidad en Draytek Routers (CVE-2024-41334)
Fecha de publicación:
27/02/2025
Idioma:
Español
Se descubrió que los dispositivos Draytek Vigor 165/166 anteriores a la v4.2.6, Vigor 2620/LTE200 anteriores a la v3.9.8.8, Vigor 2860/2925 anteriores a la v3.9.7, Vigor 2862/2926 anteriores a la v3.9.9.4, Vigor 2133/2762/2832 anteriores a la v3.9.8, Vigor 2135/2765/2766 anteriores a la v4.4.5.1, Vigor 2865/2866/2927 anteriores a la v4.4.5.3, Vigor 2962/3910 anteriores a la v4.3.2.7, Vigor 3912 anteriores a la v4.3.5.2 y Vigor 2925 hasta la v3.9.6 no utilizaban la verificación de certificados, lo que permitía a los atacantes cargar módulos APPE manipulados desde servidores no oficiales, lo que lleva a la ejecución de código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/06/2025

Vulnerabilidad en Draytek Routers (CVE-2024-41335)
Fecha de publicación:
27/02/2025
Idioma:
Español
Se descubrió que los dispositivos Draytek Vigor 165/166 anteriores a la v4.2.6, Vigor 2620/LTE200 anteriores a la v3.9.8.8, Vigor 2860/2925 anteriores a la v3.9.7, Vigor 2862/2926 anteriores a la v3.9.9.4, Vigor 2133/2762/2832 anteriores a la v3.9.8, Vigor 2135/2765/2766 anteriores a la v4.4.5.1, Vigor 2865/2866/2927 anteriores a la v4.4.5.3, Vigor 2962/3910 anteriores a la v4.3.2.7, Vigor 3912 anteriores a la v4.3.5.2 y Vigor 2925 hasta la v3.9.6 utilizan versiones inseguras de las funciones. strcmp y memcmp, lo que permite a los atacantes obtener información confidencial mediante ataques de tiempo.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/02/2025

Vulnerabilidad en Draytek Routers (CVE-2024-41336)
Fecha de publicación:
27/02/2025
Idioma:
Español
Se descubrió que los dispositivos Draytek Vigor 165/166 anteriores a v4.2.6, Vigor 2620/LTE200 anteriores a v3.9.8.8, Vigor 2860/2925 anteriores a v3.9.7, Vigor 2862/2926 anteriores a v3.9.9.4, Vigor 2133/2762/2832 anteriores a v3.9.8, Vigor 2135/2765/2766 anteriores a v4.4.5.1, Vigor 2865/2866/2927 anteriores a v4.4.5.3, Vigor 2962/3910 anteriores a v4.3.2.7, Vigor 3912 anteriores a v4.3.5.2 y Vigor 2925 hasta v3.9.6 almacenaban contraseñas en texto plano.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/02/2025

Vulnerabilidad en Draytek Routers (CVE-2024-41338)
Fecha de publicación:
27/02/2025
Idioma:
Español
Una desreferencia de puntero NULL en los dispositivos Draytek Vigor 165/166 anteriores a v4.2.6, Vigor 2620/LTE200 anteriores a v3.9.8.8, Vigor 2860/2925 anteriores a v3.9.7, Vigor 2862/2926 anteriores a v3.9.9.4, Vigor 2133/2762/2832 anteriores a v3.9.8, Vigor 2135/2765/2766 anteriores a v4.4.5.1, Vigor 2865/2866/2927 anteriores a v4.4.5.3, Vigor 2962/3910 anteriores a v4.3.2.7, Vigor 3912 anteriores a v4.3.5.2 y Vigor 2925 hasta v3.9.6 permite a los atacantes provocar una denegación de servicio (DoS) a través de una solicitud DHCP manipulada específicamente.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/06/2025

Vulnerabilidad en Draytek Routers (CVE-2024-41339)
Fecha de publicación:
27/02/2025
Idioma:
Español
Un problema en el endpoint CGI utilizado para cargar configuraciones en dispositivos Draytek Vigor 165/166 anterior a v4.2.6, Vigor 2620/LTE200 anterior a v3.9.8.8, Vigor 2860/2925 anterior a v3.9.7, Vigor 2862/2926 anterior a v3.9.9.4, Vigor 2133/2762/2832 anterior a v3.9.8, Vigor 2135/2765/2766 anterior a v4.4.5.1, Vigor 2865/2866/2927 anterior a v4.4.5.3, Vigor 2962/3910 anterior a v4.3.2.7, Vigor 3912 anterior a v4.3.5.2 y Vigor 2925 hasta v3.9.6 permite a los atacantes cargar un módulo de kernel manipulado específicamente, lo que permite la ejecución de código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/06/2025

Vulnerabilidad en Draytek Routers (CVE-2024-41340)
Fecha de publicación:
27/02/2025
Idioma:
Español
Un problema en los dispositivos Draytek Vigor 165/166 anteriores a la v4.2.6, Vigor 2620/LTE200 anteriores a la v3.9.8.8, Vigor 2860/2925 anteriores a la v3.9.7, Vigor 2862/2926 anteriores a la v3.9.9.4, Vigor 2133/2762/2832 anteriores a la v3.9.8, Vigor 2135/2765/2766 anteriores a la v4.4.5.1, Vigor 2865/2866/2927 anteriores a la v4.4.5.3, Vigor 2962/3910 anteriores a la v4.3.2.7, Vigor 3912 anteriores a la v4.3.5.2 y Vigor 2925 hasta la v3.9.6 permite a los atacantes cargar aplicaciones manipuladas por ellos. Módulos de cumplimiento que conducen a la ejecución de código arbitrario.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/06/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21822)
Fecha de publicación:
27/02/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ptp: vmclock: Establecer datos del controlador antes de su uso Si vmclock_ptp_register() falla durante el sondeo, se llama a vmclock_remove() para limpiar el reloj ptp y el dispositivo misceláneo. Utiliza dev_get_drvdata() para acceder al estado de vmclock. Sin embargo, los datos del controlador aún no están establecidos en este punto. Asigne los datos del controlador antes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21817)
Fecha de publicación:
27/02/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: block: mark GFP_NOIO around sysfs ->store() sysfs ->store se llama con la cola congelada, mientras tanto tenemos varias devoluciones de llamadas ->store() (update_nr_requests, wbt, scheduler) para asignar memoria con GFP_KERNEL que puede ejecutarse en una ruta de código de recuperación directa, lo que puede provocar un posible bloqueo. Solucione el problema marcando NOIO alrededor de sysfs ->store()
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2025
Suscribirse a Vulnerabilidades