Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2024-44965)
Fecha de publicación:
04/09/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/mm: Corregir la suposición de alineación de pti_clone_pgtable() Guenter informó de fallos sospechosos en una compilación de i386-nosmp que utilizaba GCC-11 que tenían la forma de trampas infinitas hasta el agotamiento de la pila de entrada y luego #DF desde la protección de la pila. Resultó que pti_clone_pgtable() tenía suposiciones de alineación en la dirección de inicio, en particular, supone con fuerza que el inicio está alineado con PMD. Esto es cierto en x86_64, pero no es cierto en absoluto en i386. Estas suposiciones pueden provocar que la condición final funcione mal, lo que lleva a un clon "corto". ¿Adivina qué ocurre cuando la asignación de usuario tiene una copia corta del texto de entrada? Utiliza la forma de incremento correcta para addr para evitar suposiciones de alineación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-44948)
Fecha de publicación:
04/09/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/mtrr: comprobar si existen MTRR fijos antes de guardarlos Los MTRR tienen una variante fija obsoleta para el control de almacenamiento en caché de grano fino de la región de 640K-1MB que utiliza MSR separados. Esta variante fija tiene un bit de capacidad independiente en el MSR de capacidad MTRR. Hasta ahora, todas las CPU x86 que admiten MTRR tienen este bit independiente configurado, por lo que pasó desapercibido que mtrr_save_state() no comprueba el bit de capacidad antes de acceder a los MSR MTRR fijos. Aunque en una CPU que no admite la capacidad MTRR fija, esto da como resultado un #GP. El #GP en sí es inofensivo porque el error RDMSR se maneja con elegancia, pero da como resultado un WARN_ON(). Agregue la comprobación de capacidad faltante para evitar esto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en Yunke de ?????????? (CVE-2024-8417)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se ha detectado una vulnerabilidad en el sistema escolar en línea Yunke de ?????????? hasta la versión 1.5.5. Se ha declarado como problemática. Esta vulnerabilidad afecta al código desconocido del archivo /admin/educloud/videobind.html. La manipulación lleva a la inclusión de información confidencial en el código fuente. El ataque puede iniciarse de forma remota. La complejidad de un ataque es bastante alta. La explotación parece ser difícil. El exploit se ha revelado al público y puede utilizarse. La actualización a la versión 1.5.6 puede solucionar este problema. Se recomienda actualizar el componente afectado.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/09/2024

Vulnerabilidad en za-internet C-MOR Video Surveillance (CVE-2024-45177)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se descubrió un problema en za-internet C-MOR Video Surveillance 5.2401 y 6.00PL01. Debido a una validación de entrada incorrecta, la interfaz web de C-MOR es vulnerable a ataques persistentes de cross site scripting (XSS). Se descubrió que la configuración de la cámara es vulnerable a un ataque persistente de cross site scripting debido a una validación de entrada de usuario insuficiente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/09/2025

Vulnerabilidad en SourceCodester Food Ordering Management System 1.0 (CVE-2024-8416)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en SourceCodester Food Ordering Management System 1.0. Se ha clasificado como crítica. Afecta a una parte desconocida del archivo /routers/ticket-status.php. La manipulación del argumento ticket_id provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/09/2024

Vulnerabilidad en SourceCodester Insurance Management System 1.0 (CVE-2024-8414)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en SourceCodester Insurance Management System 1.0 y se ha clasificado como problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida. La manipulación conduce a cross-site request forgery. El ataque se puede lanzar de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2024

Vulnerabilidad en SourceCodester Food Ordering Management System 1.0 (CVE-2024-8415)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se encontró una vulnerabilidad en SourceCodester Food Ordering Management System 1.0 y se clasificó como crítica. Este problema afecta a algunas funciones desconocidas del archivo /routers/add-ticket.php. La manipulación del argumento id conduce a una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha revelado al público y puede utilizarse.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/09/2024

Vulnerabilidad en Cisco Duo Epic para Hyperdrive (CVE-2024-20503)
Fecha de publicación:
04/09/2024
Idioma:
Español
Una vulnerabilidad en Cisco Duo Epic para Hyperdrive podría permitir que un atacante local autenticado vea información confidencial en texto plano en un sistema afectado. Esta vulnerabilidad se debe al almacenamiento inadecuado de una clave de registro sin cifrar. Un atacante con pocos privilegios podría aprovechar esta vulnerabilidad al ver o consultar la clave de registro en el sistema afectado. Una explotación exitosa podría permitir al atacante ver información confidencial en texto plano.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2024

Vulnerabilidad en za-internet C-MOR Video Surveillance (CVE-2024-45170)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se ha descubierto un problema en za-internet C-MOR Video Surveillance 5.2401. Debido a un control de acceso incorrecto o inexistente, los usuarios con privilegios reducidos pueden utilizar las funciones administrativas de la interfaz web de C-MOR. Se ha descubierto que ciertas funciones solo están disponibles para los usuarios administrativos. Sin embargo, el acceso a esas funciones está restringido a través de la interfaz de usuario de la aplicación web y no se verifica en el lado del servidor. Por lo tanto, al enviar las solicitudes HTTP correspondientes al servidor web de la interfaz web de C-MOR, los usuarios con privilegios reducidos también pueden utilizar la funcionalidad administrativa, por ejemplo, descargar archivos de copia de seguridad o cambiar los ajustes de configuración.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/09/2025

Vulnerabilidad en za-internet C-MOR Video Surveillance (CVE-2024-45174)
Fecha de publicación:
04/09/2024
Idioma:
Español
Se descubrió un problema en za-internet C-MOR Video Surveillance 5.2401 y 6.00PL01. Debido a la validación incorrecta de los datos proporcionados por el usuario, diferentes funcionalidades de la interfaz web de C-MOR son vulnerables a ataques de inyección SQL. Este tipo de ataque permite que un usuario autenticado ejecute comandos SQL arbitrarios en el contexto de la base de datos MySQL correspondiente.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/09/2025

Vulnerabilidad en Cisco Smart Licensing Utility (CVE-2024-20439)
Fecha de publicación:
04/09/2024
Idioma:
Español
Una vulnerabilidad en Cisco Smart Licensing Utility podría permitir que un atacante remoto no autenticado inicie sesión en un sistema afectado mediante una credencial administrativa estática. Esta vulnerabilidad se debe a una credencial de usuario estática no documentada para una cuenta administrativa. Un atacante podría aprovechar esta vulnerabilidad mediante el uso de las credenciales estáticas para iniciar sesión en el sistema afectado. Una explotación exitosa podría permitir que el atacante inicie sesión en el sistema afectado con privilegios administrativos sobre la API de la aplicación Cisco Smart Licensing Utility.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/10/2025

Vulnerabilidad en Cisco Smart Licensing Utility (CVE-2024-20440)
Fecha de publicación:
04/09/2024
Idioma:
Español
Una vulnerabilidad en Cisco Smart Licensing Utility podría permitir que un atacante remoto no autenticado acceda a información confidencial. Esta vulnerabilidad se debe a un exceso de verbosidad en un archivo de registro de depuración. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir al atacante obtener archivos de registro que contienen datos confidenciales, incluidas las credenciales que se pueden usar para acceder a la API.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/09/2024
Suscribirse a Vulnerabilidades