Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Linksys Velop WiFi 5 (CVE-2024-36821)
Fecha de publicación:
11/06/2024
Idioma:
Español
Permisos inseguros en Linksys Velop WiFi 5 (WHW01v1) 1.1.13.202617 permite a los atacantes escalar privilegios de Invitado a raíz a través de un directory traversal.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/08/2024

Vulnerabilidad en AWS Deployment Framework (CVE-2024-37293)
Fecha de publicación:
11/06/2024
Idioma:
Español
AWS Deployment Framework (ADF) es un framework para administrar e implementar recursos en múltiples cuentas y regiones de AWS dentro de una organización de AWS. ADF permite implementaciones de aplicaciones o recursos por etapas, paralelas, de múltiples cuentas y entre regiones a través de la estructura definida en AWS Organizations, al tiempo que aprovecha servicios como AWS CodePipeline, AWS CodeBuild y AWS CodeCommit para aliviar el trabajo pesado y la administración en comparación a una configuración CI/CD tradicional. ADF contiene un proceso de arranque que es responsable de implementar las pilas de arranque de ADF para facilitar las implementaciones de múltiples cuentas entre regiones. El proceso de arranque de ADF depende de privilegios elevados para realizar esta tarea. Existen dos versiones del proceso de arranque; una canalización impulsada por cambios de código que utiliza AWS CodeBuild y una máquina de estado impulsada por eventos que utiliza AWS Lambda. Si un actor tiene permisos para cambiar el comportamiento del proyecto CodeBuild o la función Lambda, podrá aumentar sus privilegios. Antes de la versión 4.0.0, la función de arranque CodeBuild proporciona acceso a la operación `sts:AssumeRole` sin más restricciones. Por lo tanto, puede asumir cualquier cuenta de AWS en la organización de AWS con los privilegios elevados proporcionados por la función de acceso entre cuentas. De forma predeterminada, esta función no está restringida cuando la crea AWS Organizations, lo que proporciona acceso de nivel de administrador a los recursos de AWS en la cuenta de AWS. Los parches para este problema se incluyen en la versión 4.0.0 de `aws-deployment-framework`. Como mitigación temporal, agregue un límite de permisos a los roles creados por ADF en la cuenta de administración. El límite de permisos debe denegar todas las acciones de IAM y STS. Este límite de permisos debe estar vigente hasta que actualice ADF o inicie una nueva cuenta. Mientras el límite de permisos esté vigente, la administración de cuentas y el arranque de cuentas no pueden crear, actualizar ni asumir roles. Esto mitiga el riesgo de escalada de privilegios, pero también desactiva la capacidad de ADF para crear, administrar y arrancar cuentas.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2024

Vulnerabilidad en Azure Science Virtual Machine (CVE-2024-37325)
Fecha de publicación:
11/06/2024
Idioma:
Español
Vulnerabilidad de elevación de privilegios de Azure Science Virtual Machine (DSVM)
Gravedad CVSS v3.1: ALTA
Última modificación:
28/08/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-35253)
Fecha de publicación:
11/06/2024
Idioma:
Español
Vulnerabilidad de elevación de privilegios de sincronización de archivos de Microsoft Azure
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-35254)
Fecha de publicación:
11/06/2024
Idioma:
Español
Vulnerabilidad de elevación de privilegios del agente de Azure Monitor
Gravedad CVSS v3.1: ALTA
Última modificación:
20/06/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-35255)
Fecha de publicación:
11/06/2024
Idioma:
Español
Vulnerabilidad de elevación de privilegios en las librerías de identidad de Azure y la librería de autenticación de Microsoft
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-35263)
Fecha de publicación:
11/06/2024
Idioma:
Español
Vulnerabilidad de divulgación de información en Microsoft Dynamics 365 (local)
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/06/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-35265)
Fecha de publicación:
11/06/2024
Idioma:
Español
Vulnerabilidad de elevación de privilegios del servicio de percepción de Windows
Gravedad CVSS v3.1: ALTA
Última modificación:
20/06/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-35250)
Fecha de publicación:
11/06/2024
Idioma:
Español
Vulnerabilidad de elevación de privilegios del controlador en modo kernel de Windows
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2025

Vulnerabilidad en Microsoft Corporation (CVE-2024-35248)
Fecha de publicación:
11/06/2024
Idioma:
Español
Vulnerabilidad de elevación de privilegios de Microsoft Dynamics 365 Business Central
Gravedad CVSS v3.1: ALTA
Última modificación:
20/06/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-35249)
Fecha de publicación:
11/06/2024
Idioma:
Español
Vulnerabilidad de ejecución remota de código en Microsoft Dynamics 365 Business Central
Gravedad CVSS v3.1: ALTA
Última modificación:
20/06/2024

Vulnerabilidad en Microsoft Corporation (CVE-2024-35252)
Fecha de publicación:
11/06/2024
Idioma:
Español
Vulnerabilidad de denegación de servicio de la librería cliente de movimiento de Azure Storage
Gravedad CVSS v3.1: ALTA
Última modificación:
20/06/2024
Suscribirse a Vulnerabilidades