Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Advanced Micro Devices (CVE-2023-31346)
Fecha de publicación:
13/02/2024
Idioma:
Español
No inicializar la memoria en el firmware SEV puede permitir que un atacante privilegiado acceda a datos obsoletos de otros invitados.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/03/2025

Vulnerabilidad en Advanced Micro Devices (CVE-2023-31347)
Fecha de publicación:
13/02/2024
Idioma:
Español
Debido a un error de código en Secure_TSC, el firmware SEV puede permitir que un atacante con altos privilegios haga que un invitado observe un TSC incorrecto cuando Secure TSC está habilitado, lo que podría provocar una pérdida de integridad del invitado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2025

Vulnerabilidad en Advanced Micro Devices (CVE-2021-46757)
Fecha de publicación:
13/02/2024
Idioma:
Español
Una comprobación insuficiente del búfer de memoria en ASP Secure OS puede permitir que un atacante con un TA malicioso lea/escriba en el espacio de direcciones virtuales del kernel de ASP Secure OS, lo que podría provocar una escalada de privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en OpenIDC / mod_auth_openidc de GitHub (CVE-2024-24814)
Fecha de publicación:
13/02/2024
Idioma:
Español
mod_auth_openidc es un módulo de autorización y autenticación OpenID Certified™ para el servidor HTTP Apache 2.x que implementa la funcionalidad OpenID Connect Relying Party. En las versiones afectadas, la falta de validación de entrada en el valor de la cookie mod_auth_openidc_session_chunks hace que el servidor sea vulnerable a un ataque de denegación de servicio (DoS). Se realizó una auditoría de seguridad interna y los revisores descubrieron que si manipulaban el valor de la cookie mod_auth_openidc_session_chunks a un número entero muy grande, como 99999999, el servidor lucha con la solicitud durante mucho tiempo y finalmente regresa con un error 500. Realizar algunas solicitudes de este tipo provocó que nuestro servidor dejara de responder. Los atacantes pueden crear solicitudes que harían que el servidor trabaje muy duro (y posiblemente deje de responder) y/o colapse con un mínimo esfuerzo. Este problema se solucionó en la versión 2.4.15.2. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/10/2024

Vulnerabilidad en mhenrixon / sidekiq-unique-jobs de GitHub (CVE-2024-25122)
Fecha de publicación:
13/02/2024
Idioma:
Español
sidekiq-unique-jobs es un proyecto de código abierto que evita que se ejecuten trabajos Sidekiq simultáneos con los mismos argumentos únicos. Los parámetros de solicitud GET especialmente manipulados manejados por cualquiera de los siguientes endpoints de la interfaz de usuario web "admin" de sidekiq-unique-jobs, permiten que un atacante superusuario o una víctima involuntaria, pero autorizada, que haya recibido un enlace disfrazado/manipulado, para ejecutar con éxito código malicioso, que podría robar cookies, datos de sesión o datos de almacenamiento local de la aplicación en la que está montada la interfaz de usuario web de sidekiq-unique-jobs. 1. `/changelogs`, 2. `/locks` o 3. `/cerraduras_expirantes`. Este problema se solucionó en las versiones 7.1.33 y 8.0.7. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/10/2024

Vulnerabilidad en GitHub Enterprise Server (CVE-2024-1369)
Fecha de publicación:
13/02/2024
Idioma:
Español
Se identificó una vulnerabilidad de inyección de comandos en GitHub Enterprise Server que permitió a un atacante con una función de editor en Management Console obtener acceso SSH de administrador al dispositivo al configurar el nombre de usuario y la contraseña para las configuraciones recopiladas. La explotación de esta vulnerabilidad requirió acceso a la instancia de GitHub Enterprise Server y acceso a la Consola de administración con la función de editor. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.12 y se solucionó en las versiones 3.11.5, 3.10.7, 3.9.10 y 3.8.15. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty https://bounty.github.com.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/03/2024

Vulnerabilidad en GitHub Enterprise Server (CVE-2024-1372)
Fecha de publicación:
13/02/2024
Idioma:
Español
Se identificó una vulnerabilidad de inyección de comandos en GitHub Enterprise Server que permitió a un atacante con una función de editor en Management Console obtener acceso SSH de administrador al dispositivo al configurar los ajustes de SAML. La explotación de esta vulnerabilidad requirió acceso a la instancia de GitHub Enterprise Server y acceso a la Consola de administración con la función de editor. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.12 y se solucionó en las versiones 3.11.5, 3.10.7, 3.9.10 y 3.8.15. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty https://bounty.github.com.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/03/2024

Vulnerabilidad en GitHub Enterprise Server (CVE-2024-1374)
Fecha de publicación:
13/02/2024
Idioma:
Español
Se identificó una vulnerabilidad de inyección de comandos en GitHub Enterprise Server que permitió a un atacante con una función de editor en Management Console obtener acceso SSH de administrador al dispositivo a través de plantillas nómadas al configurar el reenvío de registros de auditoría. La explotación de esta vulnerabilidad requirió acceso a la instancia de GitHub Enterprise Server y acceso a la Consola de administración con la función de editor. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.12 y se solucionó en las versiones 3.11.5, 3.10.7, 3.9.10 y 3.8.15. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty https://bounty.github.com.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/03/2024

Vulnerabilidad en GitHub Enterprise Server (CVE-2024-1378)
Fecha de publicación:
13/02/2024
Idioma:
Español
Se identificó una vulnerabilidad de inyección de comandos en GitHub Enterprise Server que permitió a un atacante con una función de editor en Management Console obtener acceso SSH de administrador al dispositivo a través de plantillas nómadas al configurar las opciones SMTP. La explotación de esta vulnerabilidad requirió acceso a la instancia de GitHub Enterprise Server y acceso a la Consola de administración con la función de editor. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.12 y se solucionó en las versiones 3.11.5, 3.10.7, 3.9.10 y 3.8.15. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty https://bounty.github.com.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/03/2024

Vulnerabilidad en TYPO3 (CVE-2024-24751)
Fecha de publicación:
13/02/2024
Idioma:
Español
sf_event_mgt es una extensión de registro y gestión de eventos para TYPO3 CMS basada en ExtBase y Fluid. En las versiones afectadas, la verificación de control de acceso existente para eventos en el módulo backend se rompió durante la actualización de la extensión a TYPO3 12.4, porque la función `RedirectResponse` de la función `$this->redirect()` nunca se manejó. Este problema se solucionó en la versión 7.4.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2024

Vulnerabilidad en GitHub Enterprise Server (CVE-2024-1084)
Fecha de publicación:
13/02/2024
Idioma:
Español
Cross-Site Scripting en el campo de patrón de nombre de etiqueta en la interfaz de usuario de protección de etiquetas en GitHub Enterprise Server permiten que un sitio web malicioso que requiere interacción del usuario e ingeniería social realice cambios en una cuenta de usuario a través de la omisión de CSP con tokens CSRF creados. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.12 y se solucionó en todas las versiones 3.11.5, 3.10.7, 3.9.10 y 3.8.15. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/10/2024

Vulnerabilidad en Twister Antivirus v8.17 (CVE-2024-1216)
Fecha de publicación:
13/02/2024
Idioma:
Español
Twister Antivirus v8.17 es afectado por una vulnerabilidad de denegación de servicio al activar 0x80112044, 0x8011204B, 0x8011204F, 0x80112057, 0x8011205B, 0x8011205F, 0x80112063, 0x8011206F, 0x801 12073, 0x80112077, 0x80112078, 0x8011207C y 0x80112080 códigos IOCTL del controlador fildds.sys.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/03/2024
Suscribirse a Vulnerabilidades