Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2024-42093)
Fecha de publicación:
29/07/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: net/dpaa2: evite la asignación explícita de la variable cpumask en la pila. Para el kernel CONFIG_CPUMASK_OFFSTACK=y, no se recomienda la asignación explícita de la variable cpumask en la pila, ya que puede causar un posible desbordamiento de la pila. En su lugar, el código del kernel siempre debe usar las API *cpumask_var para asignar cpumask var de manera neutral en cuanto a configuración, dejando la estrategia de asignación a CONFIG_CPUMASK_OFFSTACK. Utilice las API *cpumask_var para solucionarlo.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2026

Vulnerabilidad en kernel de Linux (CVE-2024-42094)
Fecha de publicación:
29/07/2024
Idioma:
Español
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: net/iucv: evite la asignación explícita de la variable cpumask en la pila. Para el kernel CONFIG_CPUMASK_OFFSTACK=y, no se recomienda la asignación explícita de la variable cpumask en la pila, ya que puede causar un posible desbordamiento de la pila. En su lugar, el código del kernel siempre debe usar las API *cpumask_var para asignar cpumask var de manera neutral en cuanto a configuración, dejando la estrategia de asignación a CONFIG_CPUMASK_OFFSTACK. Utilice las API *cpumask_var para solucionarlo.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2026

Vulnerabilidad en kernel de Linux (CVE-2024-42088)
Fecha de publicación:
29/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: mediatek: mt8195: Agregar entrada de plataforma para el enlace dai ETDM1_OUT_BE. La confirmación e70b8dd26711 ("ASoC: mediatek: mt8195: Eliminar el componente afe-dai y volver a trabajar el enlace del códec") eliminó la entrada del códec. para el enlace dai ETDM1_OUT_BE por completo en lugar de reemplazarlo con COMP_EMPTY(). Esto funcionó por accidente ya que la entrada restante de la plataforma COMP_EMPTY() se convirtió en la entrada del códec, y la entrada de la plataforma quedó completamente vacía, efectivamente lo mismo que COMP_DUMMY() ya que snd_soc_fill_dummy_dai() no hace nada para las entradas de la plataforma. Esto provoca una advertencia de fuera de los límites de KASAN en mtk_soundcard_common_probe() en sound/soc/mediatek/common/mtk-soundcard-driver.c: for_each_card_prelinks(card, i, dai_link) { if (adsp_node && !strncmp(dai_link-> name, "AFE_SOF", strlen("AFE_SOF"))) dai_link->platforms->of_node = adsp_node; else if (!!dai_link->platforms->name && !dai_link->platforms->of_node) dai_link->platforms->of_node = platform_node; } donde el código espera que la matriz de plataformas tenga espacio para al menos una entrada. Agregue una entrada COMP_EMPTY() para que dai_link->platforms tenga espacio.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/09/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42084)
Fecha de publicación:
29/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ftruncate: pasa un desplazamiento firmado La antigua llamada al sistema ftruncate(), que utiliza off_t de 32 bits, pierde una extensión de signo cuando se llama en modo de compatibilidad en arquitecturas de 64 bits. Como resultado, pasar una longitud negativa accidentalmente logra truncar el tamaño del archivo entre 2GiB y 4GiB. Cambiar el tipo de llamada al sistema compat a compat_off_t firmado cambia el comportamiento, por lo que en su lugar devuelve -EINVAL. El punto de entrada nativo, la llamada al sistema truncate() y las variantes correspondientes basadas en loff_t ya son correctas y no sufren este error.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42085)
Fecha de publicación:
29/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: dwc3: core: elimina el bloqueo del modo otg durante la suspensión/reanudación del dispositivo para evitar un punto muerto Cuando se selecciona config CONFIG_USB_DWC3_DUAL_ROLE y activa el sistema para que entre en estado de suspensión con el siguiente comando: echo mem > /sys/power/state Se producirá un problema de interbloqueo. Ruta de invocación detallada como se muestra a continuación: dwc3_suspend_common() spin_lock_irqsave(&dwc->lock, flags); <-- 1er dwc3_gadget_suspend(dwc); dwc3_gadget_soft_disconnect(dwc); spin_lock_irqsave(&dwc->bloquear, banderas); <-- 2.º Este problema se expone mediante la confirmación c7ebd8149ee5 ("usb: dwc3: gadget: Fix NULL pointer dereference in dwc3_gadget_suspend") que elimina el código para verificar si dwc->gadget_driver es NULL o no. Hace que se ejecute el siguiente código y se produzca un punto muerto al intentar obtener el bloqueo de giro. De hecho, la causa principal es la confirmación 5265397f9442("usb: dwc3: Eliminar el bloqueo de DWC3 durante la suspensión/reanudación del dispositivo") que olvidó eliminar el bloqueo del modo otg. Por lo tanto, elimine el bloqueo redundante del modo otg durante la suspensión/reanudación del dispositivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42086)
Fecha de publicación:
29/07/2024
Idioma:
Español
En el kernel de Linux se ha solucionado la siguiente vulnerabilidad: iio:chemical:bme680: Corregir desbordamientos en funciones de compensación(). Hay casos en las funciones de compensación del controlador en los que se pueden producir desbordamientos de variables por operaciones de cambio de bits. Estas implicaciones se discutieron inicialmente aquí [1] y se mencionaron en el mensaje de registro del compromiso 1b3bd8592780 ("iio: químico: agregar soporte para el sensor Bosch BME680"). [1]: https://lore.kernel.org/linux-iio/20180728114028.3c1bbe81@archlinux/
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42087)
Fecha de publicación:
29/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/panel: ilitek-ili9881c: Advertencia de corrección con controladores GPIO en suspensión El ilitek-ili9881c controla el GPIO restablecido usando la función gpiod_set_value() que no está en suspensión. Esto se queja ruidosamente cuando el controlador GPIO necesita dormir. Como la persona que llama puede dormir, use gpiod_set_value_cansleep() para solucionar el problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42089)
Fecha de publicación:
29/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: fsl-asoc-card: establezca priv->pdev antes de usarlo. El puntero priv->pdev se configuró después de usarse en fsl_asoc_card_audmux_init(). Mueva esta asignación al inicio de la función de sonda, para que las subfunciones puedan usar correctamente pdev a través de priv. fsl_asoc_card_audmux_init() elimina la referencia a priv->pdev para obtener acceso a la estructura dev, utilizada con las macros dev_err. Como priv está inicializado en cero, habría una desreferencia del puntero NULL. Tenga en cuenta que si se elimina la referencia a priv->dev antes de la asignación pero nunca se usa, por ejemplo, si no hay ningún error que imprimir, el controlador nofallará probablemente debido a las optimizaciones del compilador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en Zohocorp ManageEngine OpManager, OpManager Plus, OpManager MSP y RMM (CVE-2024-6748)
Fecha de publicación:
29/07/2024
Idioma:
Español
Zohocorp ManageEngine OpManager, OpManager Plus, OpManager MSP y RMM versiones 128317 e inferiores son vulnerables a la inyección de SQL autenticado en la supervisión de URL.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en kernel de Linux (CVE-2024-42090)
Fecha de publicación:
29/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: soluciona el punto muerto en create_pinctrl() al manejar -EPROBE_DEFER En create_pinctrl(), pinctrl_maps_mutex se adquiere antes de llamar a add_setting(). Si add_setting() devuelve -EPROBE_DEFER, create_pinctrl() llama a pinctrl_free(). Sin embargo, pinctrl_free() intenta adquirir pinctrl_maps_mutex, que ya está en manos de create_pinctrl(), lo que lleva a un posible punto muerto. Este parche resuelve el problema liberando pinctrl_maps_mutex antes de llamar a pinctrl_free(), evitando el punto muerto. Este error fue descubierto y resuelto utilizando Coverity Static Analysis Security Testing (SAST) por Synopsys, Inc.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2026

Vulnerabilidad en Tenda AC10 v4 US_AC10V4.0si_V16.03.10.20_cn (CVE-2024-33365)
Fecha de publicación:
29/07/2024
Idioma:
Español
Vulnerabilidad de desbordamiento de búfer en Tenda AC10 v4 US_AC10V4.0si_V16.03.10.20_cn permite a un atacante remoto ejecutar código arbitrario a través de la función Virtual_Data_Check en el componente bin/httpd.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2025

Vulnerabilidad en kernel de Linux (CVE-2024-42081)
Fecha de publicación:
29/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/xe/xe_devcoredump: marque NULL antes de las asignaciones. Asigne 'xe_devcoredump_snapshot *' y 'xe_device *' solo si 'coredump' no es NULL. v2: corrige los mensajes de confirmación. v3: definir variables antes del código. (Ashutosh/Jose) v4: eliminar la verificación de retorno para coredump_to_xe. (José/Rodrigo) v5 - Modificar mensaje de confirmación engañoso. (Matt)
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/07/2024
Suscribirse a Vulnerabilidades