Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2025-37977)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: ufs: exynos: Deshabilitar iocc si la propiedad dma-coherent no está establecida. Si la propiedad dma-coherent no está establecida, los descriptores no se pueden almacenar en caché y los bits de compartición de iocc deben estar deshabilitados. Sin esto, UFS puede terminar en una configuración incompatible y sufrir problemas de estabilidad aleatorios relacionados con la caché.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37978)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bloque: integridad: No llamar a set_page_dirty_lock(). Colocar varios búferes de información de protección dentro de la misma página puede provocar errores, ya que set_page_dirty_lock() no se puede llamar desde el contexto de interrupción. Dado que un búfer de información de protección no está respaldado por un archivo, no tiene sentido configurar su página como sucia; no hay nada que sincronizar. Elimine la llamada a set_page_dirty_lock() y elimine el último argumento de bio_integrity_unpin_bvec().
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37979)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: qcom: Corrección de un posible desbordamiento de búfer en sc7280 lpass. Los valores de caso introducidos en el commit 5f78e1fb7a3e ("ASoC: qcom: Añadir compatibilidad de controlador para la solución audioreach") provocan acceso fuera de los límites en matrices de datos del controlador sc7280 (p. ej., en el caso de RX_CODEC_DMA_RX_0 en sc7280_snd_hw_params()). Redefinir LPASS_MAX_PORTS para considerar el ID de puerto máximo posible para q6dsp, ya que el controlador sc7280 utiliza algunos de esos valores. Encontrado por el Centro de Verificación de Linux (linuxtesting.org) con SVACE.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/12/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37980)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bloque: corrección de fuga de recursos en la ruta de error blk_register_queue(). Si el registro de una cola falla después de que blk_mq_sysfs_register() se ejecute correctamente, pero la función detecta un error posteriormente, es necesario limpiar los recursos blk_mq_sysfs. Agregue la llamada blk_mq_sysfs_unregister() faltante en la ruta de error para limpiar correctamente estos recursos y evitar una fuga de memoria.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2026

Vulnerabilidad en kernel de Linux (CVE-2025-37981)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: smartpqi: Usar is_kdump_kernel() para comprobar kdump. El controlador smartpqi comprueba la variable reset_devices para determinar si es necesario realizar ajustes especiales para kdump. Esto provoca que, tras un reinicio normal de kexec, algunos parámetros del controlador, como max_transfer_size, sean mucho más bajos de lo habitual. Es más, las pruebas de reinicio de kexec han revelado corrupción de memoria causada por la escritura del registro del controlador en la memoria del sistema después de un kexec. Para solucionar esto, pruebe is_kdump_kernel() en lugar de reset_devices cuando corresponda.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/11/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37982)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: wl1251: se corrige una fuga de memoria en wl1251_tx_work. El skb desencolado de tx_queue se pierde cuando wl1251_ps_elp_wakeup falla con un error -ETIMEDOUT. Para solucionarlo, vuelva a encolar el skb en tx_queue.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37966)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: riscv: Se corrige el fallo del kernel debido a PR_SET_TAGGED_ADDR_CTRL Cuando el espacio de usuario realiza PR_SET_TAGGED_ADDR_CTRL, pero la extensión Supm no está disponible, el kernel se bloquea: Oops - instrucción ilegal [#1] [snip] epc : set_tagged_addr_ctrl+0x112/0x15a ra : set_tagged_addr_ctrl+0x74/0x15a epc : ffffffff80011ace ra : ffffffff80011a30 sp : ffffffc60039be10 [snip] status: 0000000200000120 badaddr: 0000000010a79073 cause: 00000000000000002 set_tagged_addr_ctrl+0x112/0x15a __riscv_sys_prctl+0x352/0x73c do_trap_ecall_u+0x17c/0x20c andle_exception+0x150/0x15c Corríjalo verificando si Supm está disponible.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2026

Vulnerabilidad en kernel de Linux (CVE-2025-37967)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: typec: ucsi: displayport: Corrección de interbloqueo. Este parche incorpora las funciones ucsi_con_mutex_lock y ucsi_con_mutex_unlock al controlador UCSI. ucsi_con_mutex_lock garantiza que el mutex del conector solo se bloquee si se establece una conexión y el puntero del asociado es válido. Esto resuelve un escenario de interbloqueo donde ucsi_displayport_remove_partner mantiene con->mutex esperando a que dp_altmode_work complete su ejecución mientras dp_altmode_work intenta adquirirlo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37968)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iio: light: opt3001: corrección de interbloqueo debido al acceso simultáneo a indicadores. La función IRQ enhebrada de este controlador lee el indicador dos veces: una para bloquear un mutex y otra para desbloquearlo. Aunque el código que configura el indicador está diseñado para evitarlo, existen casos sutiles en los que el indicador podría ser verdadero en la etapa mutex_lock y falso en la etapa mutex_unlock. Esto provoca que el mutex no se desbloquee, lo que genera un interbloqueo. Para solucionarlo, haga que el código opt3001_irq() sea generalmente más robusto, leyendo el indicador en una variable y utilizando el valor de la variable en ambas etapas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2026

Vulnerabilidad en kernel de Linux (CVE-2025-37969)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iio: imu: st_lsm6dsx: corrige un posible bloqueo en st_lsm6dsx_read_tagged_fifo Evita que st_lsm6dsx_read_tagged_fifo caiga en un bucle infinito en caso de que pattern_len sea igual a cero y el FIFO del dispositivo no esté vacío.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37970)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iio: imu: st_lsm6dsx: corrige un posible bloqueo en st_lsm6dsx_read_fifo Evita que st_lsm6dsx_read_fifo caiga en un bucle infinito en caso de que pattern_len sea igual a cero y el FIFO del dispositivo no esté vacío.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2025

Vulnerabilidad en kernel de Linux (CVE-2025-37971)
Fecha de publicación:
20/05/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: staging: bcm2835-camera: Inicializar dev en v4l2_dev. el commit 42a2f6664e18 ("staging: vc04_services: Mover global g_state a vchiq_state") modificó mmal_init para pasar dev->v4l2_dev.dev a vchiq_mmal_init. Sin embargo, no se inicializó dev->v4l2_dev, por lo que se obtuvo una desreferencia de puntero nulo. Se estableció dev->v4l2_dev.dev durante bcm2835_mmal_probe. El puntero del dispositivo se podría pasar a v4l2_device_register para establecerlo; sin embargo, esto también tiene otros efectos que requerirían cambios adicionales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2025
Suscribirse a Vulnerabilidades