Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Rollup (CVE-2024-47068)
Fecha de publicación:
23/09/2024
Idioma:
Español
Rollup es un empaquetador de módulos para JavaScript. Las versiones anteriores a 3.29.5 y 4.22.4 son susceptibles a una vulnerabilidad de DOM Clobbering al agrupar scripts con propiedades de `import.meta` (por ejemplo, `import.meta.url`) en formato `cjs`/`umd`/`iife`. El gadget DOM Clobbering puede provocar cross-site scripting (XSS) en páginas web donde hay elementos HTML sin scripts controlados por atacantes (por ejemplo, una etiqueta `img` con un atributo `name` no saneado). Las versiones 3.29.5 y 4.22.4 contienen un parche para la vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/10/2024

Vulnerabilidad en Parallels Desktop para Mac v19.3.0 (CVE-2024-34331)
Fecha de publicación:
23/09/2024
Idioma:
Español
La falta de verificación de la firma de código en Parallels Desktop para Mac v19.3.0 y anteriores permite a los atacantes escalar privilegios a través de un instalador de macOS manipulado específicamente, porque Parallels Service está configurado como superusuario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/09/2024

Vulnerabilidad en AliyunContainerService pouch v1.3.1 (CVE-2024-41228)
Fecha de publicación:
23/09/2024
Idioma:
Español
Un enlace simbólico que sigue a una vulnerabilidad en la función cp de AliyunContainerService pouch v1.3.1 permite a los atacantes escalar privilegios y escribir archivos arbitrarios.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2024

Vulnerabilidad en Sony XAV-AX5500 (CVE-2024-23922)
Fecha de publicación:
23/09/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código por validación insuficiente de actualizaciones de firmware en Sony XAV-AX5500. Esta vulnerabilidad permite a atacantes físicamente presentes ejecutar código arbitrario en las instalaciones afectadas de dispositivos Sony XAV-AX5500. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe en el manejo de actualizaciones de software. El problema es el resultado de la falta de validación adecuada de los paquetes de actualización de software. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del dispositivo. Era ZDI-CAN-22939
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/09/2024

Vulnerabilidad en Sony XAV-AX5500 (CVE-2024-23972)
Fecha de publicación:
23/09/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código por desbordamiento del búfer del descriptor de configuración USB de Sony XAV-AX5500. Esta vulnerabilidad permite a atacantes físicamente presentes ejecutar código arbitrario en las instalaciones afectadas de dispositivos Sony XAV-AX5500. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro del controlador del host USB. Un descriptor de configuración USB manipulado puede provocar un desbordamiento de un búfer de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del dispositivo. Era ZDI-CAN-23185
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/09/2024

Vulnerabilidad en Sony XAV-AX5500 CarPlay (CVE-2024-23933)
Fecha de publicación:
23/09/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en pila TLV en Sony XAV-AX5500 CarPlay. Esta vulnerabilidad permite a atacantes físicamente presentes ejecutar código arbitrario en las instalaciones afectadas de dispositivos Sony XAV-AX5500. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro de la implementación del protocolo Apple CarPlay. El problema resulta de la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del dispositivo. Era ZDI-CAN-23238
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/08/2025

Vulnerabilidad en Sony XAV-AX5500 (CVE-2024-23934)
Fecha de publicación:
23/09/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en pila de análisis WMV/ASF en Sony XAV-AX5500. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Sony XAV-AX5500. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos WMV/ASF. Un objeto de descripción de contenido extendido creado en un archivo multimedia WMV puede provocar un desbordamiento de un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del dispositivo... Era ZDI-CAN-22994.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2025

Vulnerabilidad en PHPGurukul Dairy Farm Shop Management System v1.1 (CVE-2024-46241)
Fecha de publicación:
23/09/2024
Idioma:
Español
PHPGurukul Dairy Farm Shop Management System v1.1 es vulnerable a cross-site scripting (XSS) a través del parámetro pname en add_product.php y edit_product.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2025

Vulnerabilidad en Exnet Informatics Software Ferry Reservation System (CVE-2024-7835)
Fecha de publicación:
23/09/2024
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Exnet Informatics Software Ferry Reservation System permite XSS reflejado. Este problema afecta a Ferry Reservation System: anterior a 240805-002.
Gravedad: Pendiente de análisis
Última modificación:
26/09/2024

Vulnerabilidad en Exnet Informatics Software Ferry Reservation System (CVE-2024-7735)
Fecha de publicación:
23/09/2024
Idioma:
Español
La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en Exnet Informatics Software Ferry Reservation System permite la inyección SQL. Este problema afecta a Ferry Reservation System: antes de 240805-002.
Gravedad: Pendiente de análisis
Última modificación:
26/09/2024

Vulnerabilidad en Apache Tomcat (CVE-2024-46544)
Fecha de publicación:
23/09/2024
Idioma:
Español
La vulnerabilidad de permisos predeterminados incorrectos en los conectores Apache Tomcat permite a los usuarios locales ver y modificar la memoria compartida que contiene la configuración de mod_jk, lo que puede provocar la divulgación de información o la denegación de servicio. Este problema afecta a los conectores Apache Tomcat: desde la versión 1.2.9-beta hasta la 1.2.49. Solo se ve afectado mod_jk en sistemas tipo Unix. Ni el redirector ISAPI ni mod_jk en Windows se ven afectados. Se recomienda a los usuarios que actualicen a la versión 1.2.50, que soluciona el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/07/2025

Vulnerabilidad en kernel de Linux (CVE-2022-48945)
Fecha de publicación:
23/09/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: vivid: fix compose size above bound syzkaller encontró un error: BUG: no se puede manejar la falla de página para la dirección: ffffc9000a3b1000 #PF: acceso de escritura del supervisor en modo kernel #PF: error_code(0x0002) - página no presente PGD 100000067 P4D 100000067 PUD 10015f067 PMD 1121ca067 PTE 0 Oops: 0002 [#1] PREEMPT SMP CPU: 0 PID: 23489 Comm: vivid-000-vid-c No contaminado 6.1.0-rc1+ #512 Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.13.0-1ubuntu1.1 01/04/2014 RIP: 0010:memcpy_erms+0x6/0x10 [...] Seguimiento de llamadas: ? tpg_fill_plane_buffer+0x856/0x15b0 vivid_fillbuff+0x8ac/0x1110 vivid_thread_vid_cap_tick+0x361/0xc90 vivid_thread_vid_cap+0x21a/0x3a0 kthread+0x143/0x180 ret_from_fork+0x1f/0x30 Esto se debe a que olvidamos verificar el límite después de ajustar el caso V4L2_SEL_TGT_CROP en el int compose->height. Agregue v4l2_rect_map_inside() para solucionar este problema en este caso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/10/2025
Suscribirse a Vulnerabilidades