Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en LBT T300-T390 v2.2.1.8 (CVE-2024-27567)
Fecha de publicación:
01/03/2024
Idioma:
Español
Se descubrió que LBT T300-T390 v2.2.1.8 contenía un desbordamiento de búfer en la región stack de la memoria a través del parámetro vpn_client_ip en la función config_vpn_pptp. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) mediante una solicitud POST manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en LBT T300-T390 v2.2.1.8 (CVE-2024-27568)
Fecha de publicación:
01/03/2024
Idioma:
Español
Se descubrió que LBT T300-T390 v2.2.1.8 contenía un desbordamiento de búfer en la región stack de la memoria a través del parámetro apn_name_3g en la función setupEC20Apn. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) mediante una solicitud POST manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en LBT T300-T390 v2.2.1.8 (CVE-2024-27569)
Fecha de publicación:
01/03/2024
Idioma:
Español
Se descubrió que LBT T300-T390 v2.2.1.8 contenía un desbordamiento de búfer en la región stack de la memoria a través del parámetro ApCliSsid en la función init_nvram. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) mediante una solicitud POST manipulada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en LBT T300-T390 v2.2.1.8 (CVE-2024-27570)
Fecha de publicación:
01/03/2024
Idioma:
Español
Se descubrió que LBT T300-T390 v2.2.1.8 contenía un desbordamiento de búfer en la región stack de la memoria a través del parámetro ApCliSsid en la función generate_conf_router. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) mediante una solicitud POST manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/04/2025

Vulnerabilidad en LBT T300-T390 v2.2.1.8 (CVE-2024-27571)
Fecha de publicación:
01/03/2024
Idioma:
Español
Se descubrió que LBT T300-T390 v2.2.1.8 contenía un desbordamiento de búfer en la región stack de la memoria a través del parámetro ApCliSsid en la función makeCurRemoteApList. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) mediante una solicitud POST manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/04/2025

Vulnerabilidad en LBT T300-T390 v2.2.1.8 (CVE-2024-27572)
Fecha de publicación:
01/03/2024
Idioma:
Español
Se descubrió que LBT T300-T390 v2.2.1.8 contenía un desbordamiento de búfer en la región stack de la memoria a través del parámetro ApCliSsid en la función updateCurAPlist. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) mediante una solicitud POST manipulada.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/04/2025

Vulnerabilidad en rahman SelectCours 1.0 (CVE-2024-2064)
Fecha de publicación:
01/03/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en rahman SelectCours 1.0 y clasificada como problemática. La función getCacheNames del archivo CacheController.java del componente Template Handler es afectada por esta vulnerabilidad. La manipulación del fragmento de argumento conduce a la inyección. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-255379.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/12/2024

Vulnerabilidad en Contribsys Sidekiq v.6.5.8 (CVE-2023-46950)
Fecha de publicación:
01/03/2024
Idioma:
Español
Vulnerabilidad de Cross-Site Scripting en Contribsys Sidekiq v.6.5.8 permite a un atacante remoto obtener información confidencial a través de una URL manipulada para las funciones de filtro.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/04/2025

Vulnerabilidad en Contribsys Sidekiq v.6.5.8 (CVE-2023-46951)
Fecha de publicación:
01/03/2024
Idioma:
Español
Una vulnerabilidad de Cross-Site Scripting en Contribsys Sidekiq v.6.5.8 permite a un atacante remoto obtener información confidencial a través de un payload manipulado para la función Uniquejobs.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/04/2025

Vulnerabilidad en Kernel de Linux (CVE-2023-52497)
Fecha de publicación:
01/03/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: erofs: corrige la descompresión in situ de lz4 Actualmente, EROFS puede asignar otro búfer comprimido para la descompresión in situ, que se utilizó para manejar los casos en que algunas páginas de datos comprimidos en realidad no están in situ I/ o. Sin embargo, como la mayoría de los algoritmos LZ77 simples, LZ4 espera que los datos comprimidos estén organizados al final del buffer descomprimido y usa explícitamente memmove() para manejar la superposición: ________________________________________________________ |_ dirección de descompresión --> ____ |_ datos comprimidos _| Aunque EROFS organiza los datos comprimidos de esta manera, normalmente asigna dos buffers virtuales individuales, por lo que el orden relativo es incierto. Anteriormente, apenas se observaba ya que LZ4 solo usa memmove() para literales cortos superpuestos y las implementaciones de memmove x86/arm64 parecen cubrirlo por completo y no tienen este problema. Juhyung informó que se pueden encontrar daños en los datos EROFS en un nuevo procesador Intel x86. Después de algunos análisis, parece que los procesadores x86 recientes con la nueva característica FSRM exponen este problema con "rep movsb". Por ahora, usemos estrictamente el búfer descomprimido para la descompresión in situ de lz4. Más adelante, como mejora útil, podríamos intentar unir estos dos buffers en el orden correcto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/01/2025

Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24903)
Fecha de publicación:
01/03/2024
Idioma:
Español
Dell Secure Connect Gateway (SCG) Policy Manager, versión 5.10+, contiene un mecanismo débil de recuperación de contraseñas olvidadas. Un atacante con pocos privilegios en una red adyacente podría explotar esta vulnerabilidad, lo que provocaría un acceso no autorizado a la aplicación con privilegios de la cuenta comprometida. El atacante podría recuperar el token de restablecimiento de contraseña sin autorización y luego realizar el cambio de contraseña.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/05/2025

Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24904)
Fecha de publicación:
01/03/2024
Idioma:
Español
Dell Secure Connect Gateway (SCG) Policy Manager, todas las versiones, contiene una vulnerabilidad de Cross-Site Scripting Almacenado. Un atacante con altos privilegios de una red adyacente podría explotar esta vulnerabilidad, lo que llevaría al almacenamiento de códigos HTML o JavaScript maliciosos en un almacén de datos de aplicaciones confiables. Cuando un usuario víctima accede al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación web vulnerable. La explotación puede dar lugar a la divulgación de información, el robo de sesiones o la falsificación de solicitudes por parte del cliente.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/05/2025
Suscribirse a Vulnerabilidades