Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en J-Web de Juniper Networks Junos OS (CVE-2024-21591)
Fecha de publicación:
12/01/2024
Idioma:
Español
Una vulnerabilidad de escritura fuera de los límites en J-Web de Juniper Networks Junos OS en las series SRX y EX permite que un atacante basado en red no autenticado provoque una denegación de servicio (DoS) o una ejecución remota de código (RCE) y obtenga privilegios de root en el dispositivo. Este problema se debe al uso de una función insegura que permite a un atacante sobrescribir la memoria arbitraria. Este problema afecta a las series Junos OS SRX y EX de Juniper Networks: * Versiones de Junos OS anteriores a 20.4R3-S9; * Versiones de Junos OS 21.2 anteriores a 21.2R3-S7; * Versiones de Junos OS 21.3 anteriores a 21.3R3-S5; * Versiones de Junos OS 21.4 anteriores a 21.4R3-S5; * Versiones de Junos OS 22.1 anteriores a 22.1R3-S4; * Versiones de Junos OS 22.2 anteriores a 22.2R3-S3; * Versiones de Junos OS 22.3 anteriores a 22.3R3-S2; * Versiones de Junos OS 22.4 anteriores a 22.4R2-S2, 22.4R3.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/05/2025

Vulnerabilidad en Juniper Networks Junos OS (CVE-2024-21594)
Fecha de publicación:
12/01/2024
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en la región Heap de la memoria en el Network Services Daemon (NSD) de Juniper Networks Junos OS permite que un atacante local autenticado y con pocos privilegios provoque una denegación de servicio (DoS). En un dispositivo de la serie SRX 5000, al ejecutar un comando específico repetidamente, la memoria se daña, lo que provoca un bloqueo del Flow Processing Daemon (flowd). El proceso NSD debe reiniciarse para restaurar los servicios. Si ocurre este problema, se puede verificar con el siguiente comando: usuario@host> solicitar políticas de seguridad verificar También se puede observar el siguiente mensaje de registro: Error: policies are out of sync for PFE node.fpc.pic. Este problema afecta a: Juniper Networks Junos OS en la serie SRX 5000 * Todas las versiones anteriores a 20.4R3-S6; * Versiones 21.1 anteriores a 21.1R3-S5; * Versiones 21.2 anteriores a 21.2R3-S4; * Versiones 21.3 anteriores a 21.3R3-S3; * Versiones 21.4 anteriores a 21.4R3-S3; * Versiones 22.1 anteriores a 22.1R3-S1; * Versiones 22.2 anteriores a 22.2R3; * Versiones 22.3 anteriores a 22.3R2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/01/2024

Vulnerabilidad en Juniper Networks Junos OS (CVE-2023-36842)
Fecha de publicación:
12/01/2024
Idioma:
Español
Una verificación inadecuada de la vulnerabilidad de condiciones inusuales o excepcionales en Juniper DHCP Daemon (jdhcpd) de Juniper Networks Junos OS permite que un atacante adyacente no autenticado haga que jdhcpd consuma todos los ciclos de la CPU, lo que resulta en una denegación de servicio (DoS). En dispositivos Junos OS con forward-snooped-client configurado, si un atacante envía un paquete DHCP específico a una interfaz no configurada, esto provocará un bucle infinito. Será necesario reiniciar el proceso DHCP para recuperar el servicio. Este problema afecta a: Juniper Networks Junos OS * Todas las versiones anteriores a 20.4R3-S9; * Versiones 21.2 anteriores a 21.2R3-S7; * Versiones 21.3 anteriores a 21.3R3-S5; * Versiones 21.4 anteriores a 21.4R3-S5; * Versiones 22.1 anteriores a 22.1R3-S4; * Versiones 22.2 anteriores a 22.2R3-S3; * Versiones 22.3 anteriores a 22.3R3-S2; * Versiones 22.4 anteriores a 22.4R2-S2, 22.4R3; * Versiones 23.2 anteriores a 23.2R2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/01/2024

Vulnerabilidad en kernel de Linux (CVE-2024-0443)
Fecha de publicación:
12/01/2024
Idioma:
Español
Se encontró un fallo en la ruta de destrucción de blkgs en block/blk-cgroup.c en el kernel de Linux, lo que provocó un problema de pérdida de memoria de cgroup blkio. Cuando se destruye un cgroup, cgroup_rstat_flush() solo se llama en css_release_work_fn(), que se llama cuando el recuento de referencias de blkcg llega a 0. Esta dependencia circular evitará que blkcg y algunos blkgs se liberen después de desconectarse. Este problema puede permitir que un atacante con acceso local cause inestabilidad en el sistema, como un error de falta de memoria.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2024

Vulnerabilidad en ONTAP 9.4 (CVE-2024-21982)
Fecha de publicación:
12/01/2024
Idioma:
Español
Las versiones de ONTAP 9.4 y superiores son susceptibles a una vulnerabilidad que, cuando se explota con éxito, podría provocar la divulgación de información confidencial a atacantes sin privilegios cuando un usuario administrativo ejecuta el comando del generador de perfiles del almacén de objetos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/01/2024

Vulnerabilidad en ujcms v.8.0.2 (CVE-2023-51350)
Fecha de publicación:
11/01/2024
Idioma:
Español
Un ataque de suplantación de identidad en ujcms v.8.0.2 permite a un atacante remoto obtener información confidencial y ejecutar código arbitrario a través de un script diseñado para la función X-Forwarded-For en el encabezado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/06/2025

Vulnerabilidad en Microsoft Edge (CVE-2024-21337)
Fecha de publicación:
11/01/2024
Idioma:
Español
Vulnerabilidad de elevación de privilegios en Microsoft Edge (basado en Chromium)
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/05/2024

Vulnerabilidad en PMB v.7.4.8 (CVE-2023-46474)
Fecha de publicación:
11/01/2024
Idioma:
Español
Vulnerabilidad de carga de archivos PMB v.7.4.8 permite a un atacante remoto ejecutar código arbitrario y escalar privilegios a través de un archivo PHP manipulado subido al archivo start_import.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/06/2025

Vulnerabilidad en Microsoft Edge (CVE-2024-20675)
Fecha de publicación:
11/01/2024
Idioma:
Español
Vulnerabilidad de omisión de característica de seguridad de Microsoft Edge (basada en Chromium)
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/06/2024

Vulnerabilidad en meetyoucrop big-whale 1.1 (CVE-2023-7226)
Fecha de publicación:
11/01/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en meetyoucrop big-whale 1.1 y clasificada como crítica. Una función desconocida del archivo /auth/user/all.api del componente Admin Module es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a una gestión inadecuada de la propiedad. El ataque puede lanzarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-250232.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en ForU CMS (CVE-2024-0426)
Fecha de publicación:
11/01/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en ForU CMS hasta el 23/06/2020 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo admin/cms_template.php. La manipulación del argumento t_name/t_path conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-250445.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/05/2024

Vulnerabilidad en Hozard Alarm system (alarmsystemen) v1.0 (CVE-2023-50123)
Fecha de publicación:
11/01/2024
Idioma:
Español
El número de intentos para desarmar Hozard Alarm system (alarmsystemen) v1.0 no está limitado. Esto podría permitir a un atacante realizar una fuerza bruta en la autenticación por SMS para desarmar el sistema de alarma.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/06/2025
Suscribirse a Vulnerabilidades