Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Zebra ZTC GK420d 1.0 (CVE-2024-3125)
Fecha de publicación:
01/04/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en Zebra ZTC GK420d 1.0 y se ha clasificado como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo /settings del componente Alert Setup Page. La manipulación del argumento Address conduce a cross-site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-258868. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/05/2024

Vulnerabilidad en Shortcodes and extra features for Phlox theme de WordPress (CVE-2024-31099)
Fecha de publicación:
01/04/2024
Idioma:
Español
Vulnerabilidad de autorización faltante en códigos cortos de Averta y funciones adicionales para el tema Phlox. Este problema afecta a los códigos cortos y funciones adicionales para el tema Phlox: desde n/a hasta 2.15.5.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/05/2025

Vulnerabilidad en fridgecow smartalarm 1.8.1 (CVE-2024-3124)
Fecha de publicación:
01/04/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad en frigoríficocow smartalarm 1.8.1 y se ha clasificado como problemática. Una parte desconocida del archivo androidmanifest.xml del componente Backup File Handler es afectada por una función desconocida. La manipulación conduce a la exposición del archivo de copia de seguridad a una esfera de control no autorizada. Es posible lanzar el ataque al dispositivo físico. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-258867.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/05/2024

Vulnerabilidad en netentsec NS-ASG 6.3 (CVE-2024-30872)
Fecha de publicación:
01/04/2024
Idioma:
Español
netentsec NS-ASG 6.3 es vulnerable a la inyección SQL a través de /include/authrp.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/04/2025

Vulnerabilidad en netentsec NS-ASG 6.3 (CVE-2024-30871)
Fecha de publicación:
01/04/2024
Idioma:
Español
netentsec NS-ASG 6.3 es vulnerable a la inyección SQL a través de /WebPages/applyhardware.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/04/2025

Vulnerabilidad en netentsec NS-ASG 6.3 (CVE-2024-30870)
Fecha de publicación:
01/04/2024
Idioma:
Español
netentsec NS-ASG 6.3 es vulnerable a la inyección SQL a través de /admin/address_interpret.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/04/2025

Vulnerabilidad en netentsec NS-ASG 6.3 (CVE-2024-30868)
Fecha de publicación:
01/04/2024
Idioma:
Español
netentsec NS-ASG 6.3 es vulnerable a la inyección SQL a través de /admin/add_getlogin.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/04/2025

Vulnerabilidad en sequentech admin-console (CVE-2022-4966)
Fecha de publicación:
01/04/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en sequentech admin-console hasta 6.1.7 y clasificada como problemática. Una función desconocida del componente Election Description Handler es afectada por esta vulnerabilidad. La manipulación conduce a cross-site scripting. El ataque puede lanzarse de forma remota. La actualización a la versión 7.0.0-beta.1 puede solucionar este problema. El parche se identifica como 0043a6b1e6e0f5abc9557e73f9ffc524fc5d609d. Se recomienda actualizar el componente afectado. VDB-258782 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: BAJA
Última modificación:
17/05/2024

Vulnerabilidad en Total Security, Internet Security, Antivirus Plus and Antivirus Free de Bitdefender (CVE-2023-6154)
Fecha de publicación:
01/04/2024
Idioma:
Español
Un problema de configuración en seccenter.exe tal como se usa en Bitdefender Total Security, Bitdefender Internet Security, Bitdefender Antivirus Plus, Bitdefender Antivirus Free permite a un atacante cambiar el comportamiento esperado del producto y potencialmente cargar una librería de terceros durante la ejecución. Este problema afecta a Total Security: 27.0.25.114; Seguridad de Internet: 27.0.25.114; Antivirus Plus: 27.0.25.114; Antivirus gratuito: 27.0.25.114.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/02/2025

Vulnerabilidad en CoolKit eWeLlink (CVE-2024-3130)
Fecha de publicación:
01/04/2024
Idioma:
Español
Las credenciales codificadas en la aplicación CoolKit eWeLlink son anteriores a 5.4.x en Android e IOS, lo que permite a un atacante local acceder no autorizado a datos confidenciales a través del algoritmo de descifrado y la clave obtenida después de descompilar la aplicación.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/08/2025

Vulnerabilidad en Kernel de Linux (CVE-2024-26653)
Fecha de publicación:
01/04/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: misc: ljca: corrige el doble libre en la ruta de manejo de errores Cuando auxiliar_device_add() devuelve un error y luego llama a auxiliar_device_uninit(), la función de devolución de llamada ljca_auxdev_release llama a kfree(auxdev->dev.platform_data ) para liberar los datos de los parámetros de la función ljca_new_client_device. Las personas que llaman a ljca_new_client_device no deberían volver a llamar a kfree() en la ruta de manejo de errores para liberar los datos de la plataforma. Solucione este problema limpiando el kfree() redundante en todas las personas que llaman y agregando kfree() los datos de plataforma pasados en los errores que ocurren antes de queauxiliar_device_init() tenga éxito.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2025

Vulnerabilidad en Kernel de Linux (CVE-2024-26654)
Fecha de publicación:
01/04/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ALSA: sh: aica: reordenar operaciones de limpieza para evitar errores UAF. El dreamcastcard->timer podría programar el spu_dma_work y el spu_dma_work también podría armar el dreamcastcard->timer. Cuando se cierre snd_pcm_substream, se desasignará aica_channel. Pero aún se podría eliminar la referencia en el hilo del trabajador. La razón es que del_timer() regresará directamente independientemente de si el controlador del temporizador se está ejecutando o no y el trabajador podría reprogramarse en el controlador del temporizador. Como resultado, se producirá el error UAF. La situación picante se muestra a continuación: (Thread 1) | (Thread 2) snd_aicapcm_pcm_close() | ... | run_spu_dma() //worker | mod_timer() flush_work() | del_timer() | aica_period_elapsed() //timer kfree(dreamcastcard->channel) | schedule_work() | run_spu_dma() //worker ... | dreamcastcard->channel-> //USE Para mitigar este error y otros posibles casos extremos, llame a mod_timer() condicionalmente en run_spu_dma(), luego implemente la operación PCM sync_stop para cancelar tanto el temporizador como el trabajador. La operación sync_stop se llamará desde el núcleo PCM de forma adecuada cuando sea necesario.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2025
Suscribirse a Vulnerabilidades