Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2024-44954)
Fecha de publicación:
04/09/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ALSA: line6: Fix racy access to midibuf Puede haber accesos concurrentes a midibuf de line6 tanto desde la devolución de llamada de finalización de URB como desde el acceso a la API rawmidi. Esto podría ser la causa de la advertencia KMSAN activada por syzkaller a continuación (así que se indica aquí). Este parche protege la llamada midibuf de la ruta de código anterior con un spinlock para evitar las posibles ejecuciones.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-44958)
Fecha de publicación:
04/09/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sched/smt: Corregir desequilibrio en sched_smt_present dec/inc Recibí el siguiente informe de advertencia mientras realizaba una prueba de estrés: etiqueta de salto: ¡recuento negativo! ADVERTENCIA: CPU: 3 PID: 38 en kernel/jump_label.c:263 static_key_slow_try_dec+0x9d/0xb0 Seguimiento de llamadas: __static_key_slow_dec_cpuslocked+0x16/0x70 sched_cpu_deactivate+0x26e/0x2a0 cpuhp_invoke_callback+0x3ad/0x10d0 cpuhp_thread_fun+0x3f5/0x680 smpboot_thread_fn+0x56d/0x8d0 kthread+0x309/0x400 ret_from_fork+0x41/0x70 ret_from_fork_asm+0x1b/0x30 Porque cuando cpuset_cpu_inactive() falla en sched_cpu_deactivate(), la CPU fuera de línea falló, pero sched_smt_present se decrementa antes de llamar a sched_cpu_deactivate(), esto genera un dec/inc desequilibrado, por lo que debe solucionarlo incrementando sched_smt_present en la ruta de error.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-44960)
Fecha de publicación:
04/09/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: gadget: core: Comprobar si hay un descriptor no configurado Asegúrese de que el descriptor se haya configurado antes de consultar maxpacket. Esto soluciona un error de puntero nulo en este caso. Esto puede suceder si el gadget no configura correctamente el endpoint para la velocidad actual, o si los descriptores del gadget están mal formados y no se encuentra el descriptor para la velocidad/endpoint. No se conoce ningún controlador de gadget actual que tenga este problema, pero puede causar un error difícil de encontrar durante el desarrollo de nuevos gadgets.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-44965)
Fecha de publicación:
04/09/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/mm: Corregir la suposición de alineación de pti_clone_pgtable() Guenter informó de fallos sospechosos en una compilación de i386-nosmp que utilizaba GCC-11 que tenían la forma de trampas infinitas hasta el agotamiento de la pila de entrada y luego #DF desde la protección de la pila. Resultó que pti_clone_pgtable() tenía suposiciones de alineación en la dirección de inicio, en particular, supone con fuerza que el inicio está alineado con PMD. Esto es cierto en x86_64, pero no es cierto en absoluto en i386. Estas suposiciones pueden provocar que la condición final funcione mal, lo que lleva a un clon "corto". ¿Adivina qué ocurre cuando la asignación de usuario tiene una copia corta del texto de entrada? Utiliza la forma de incremento correcta para addr para evitar suposiciones de alineación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-44948)
Fecha de publicación:
04/09/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/mtrr: comprobar si existen MTRR fijos antes de guardarlos Los MTRR tienen una variante fija obsoleta para el control de almacenamiento en caché de grano fino de la región de 640K-1MB que utiliza MSR separados. Esta variante fija tiene un bit de capacidad independiente en el MSR de capacidad MTRR. Hasta ahora, todas las CPU x86 que admiten MTRR tienen este bit independiente configurado, por lo que pasó desapercibido que mtrr_save_state() no comprueba el bit de capacidad antes de acceder a los MSR MTRR fijos. Aunque en una CPU que no admite la capacidad MTRR fija, esto da como resultado un #GP. El #GP en sí es inofensivo porque el error RDMSR se maneja con elegancia, pero da como resultado un WARN_ON(). Agregue la comprobación de capacidad faltante para evitar esto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en Yunke de ?????????? (CVE-2024-8417)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se ha detectado una vulnerabilidad en el sistema escolar en línea Yunke de ?????????? hasta la versión 1.5.5. Se ha declarado como problemática. Esta vulnerabilidad afecta al código desconocido del archivo /admin/educloud/videobind.html. La manipulación lleva a la inclusión de información confidencial en el código fuente. El ataque puede iniciarse de forma remota. La complejidad de un ataque es bastante alta. La explotación parece ser difícil. El exploit se ha revelado al público y puede utilizarse. La actualización a la versión 1.5.6 puede solucionar este problema. Se recomienda actualizar el componente afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/09/2024

Vulnerabilidad en za-internet C-MOR Video Surveillance (CVE-2024-45177)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se descubrió un problema en za-internet C-MOR Video Surveillance 5.2401 y 6.00PL01. Debido a una validación de entrada incorrecta, la interfaz web de C-MOR es vulnerable a ataques persistentes de cross site scripting (XSS). Se descubrió que la configuración de la cámara es vulnerable a un ataque persistente de cross site scripting debido a una validación de entrada de usuario insuficiente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/09/2025

Vulnerabilidad en SourceCodester Food Ordering Management System 1.0 (CVE-2024-8416)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en SourceCodester Food Ordering Management System 1.0. Se ha clasificado como crítica. Afecta a una parte desconocida del archivo /routers/ticket-status.php. La manipulación del argumento ticket_id provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/09/2024

Vulnerabilidad en SourceCodester Insurance Management System 1.0 (CVE-2024-8414)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en SourceCodester Insurance Management System 1.0 y se ha clasificado como problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida. La manipulación conduce a cross-site request forgery. El ataque se puede lanzar de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2024

Vulnerabilidad en SourceCodester Food Ordering Management System 1.0 (CVE-2024-8415)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Food Ordering Management System 1.0 y se clasificó como crítica. Este problema afecta a algunas funciones desconocidas del archivo /routers/add-ticket.php. La manipulación del argumento id conduce a una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha revelado al público y puede utilizarse.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/09/2024

Vulnerabilidad en Cisco Duo Epic para Hyperdrive (CVE-2024-20503)
Fecha de publicación:
04/09/2024
Idioma:
Español
Una vulnerabilidad en Cisco Duo Epic para Hyperdrive podría permitir que un atacante local autenticado vea información confidencial en texto plano en un sistema afectado. Esta vulnerabilidad se debe al almacenamiento inadecuado de una clave de registro sin cifrar. Un atacante con pocos privilegios podría aprovechar esta vulnerabilidad al ver o consultar la clave de registro en el sistema afectado. Una explotación exitosa podría permitir al atacante ver información confidencial en texto plano.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2024

Vulnerabilidad en za-internet C-MOR Video Surveillance (CVE-2024-45170)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se ha descubierto un problema en za-internet C-MOR Video Surveillance 5.2401. Debido a un control de acceso incorrecto o inexistente, los usuarios con privilegios reducidos pueden utilizar las funciones administrativas de la interfaz web de C-MOR. Se ha descubierto que ciertas funciones solo están disponibles para los usuarios administrativos. Sin embargo, el acceso a esas funciones está restringido a través de la interfaz de usuario de la aplicación web y no se verifica en el lado del servidor. Por lo tanto, al enviar las solicitudes HTTP correspondientes al servidor web de la interfaz web de C-MOR, los usuarios con privilegios reducidos también pueden utilizar la funcionalidad administrativa, por ejemplo, descargar archivos de copia de seguridad o cambiar los ajustes de configuración.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/09/2025
Suscribirse a Vulnerabilidades