Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Arista Networks, Inc. (CVE-2023-6068)
    Severidad: BAJA
    Fecha de publicación: 04/03/2024
    Fecha de última actualización: 18/12/2025
    En las plataformas FPGA de la serie 7130 afectadas que ejecutan MOS y versiones recientes de FPGA MultiAccess, la aplicación de ACL puede provocar un funcionamiento incorrecto de la ACL configurada para un puerto, lo que da como resultado que se permitan algunos paquetes que deberían negarse y algunos
  • Vulnerabilidad en Node.js/Express (CVE-2024-29041)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2024
    Fecha de última actualización: 18/12/2025
    El framework web minimalista Express.js para node. Las versiones de Express.js anteriores a 4.19.0 y todas las versiones alfa y beta preliminares de 5.0 se ven afectadas por una vulnerabilidad de redireccionamiento abierto que utiliza URL con formato incorrecto. Cuando un usuario de Express realiza una redirección utilizando una URL proporcionada por el usuario, Express realiza una codificación [usando `encodeurl`](https://github.com/pillarjs/encodeurl) en el contenido antes de pasarlo al encabezado de `ubicación`. Esto puede hacer que las URL con formato incorrecto se evalúen de maneras inesperadas mediante implementaciones de listas permitidas de redireccionamiento común en aplicaciones Express, lo que lleva a una redirección abierta al omitir una lista permitida implementada correctamente. El método principal afectado es `res.location()` pero también se llama desde `res.redirect()`. La vulnerabilidad se solucionó en 4.19.2 y 5.0.0-beta.3.
  • Vulnerabilidad en Arista Networks, Inc. (CVE-2024-9134)
    Severidad: ALTA
    Fecha de publicación: 10/01/2025
    Fecha de última actualización: 18/12/2025
    Existen múltiples vulnerabilidades de inyección SQL en la aplicación de informes. Un usuario con derechos de acceso avanzados a la aplicación de informes puede aprovechar la inyección SQL, lo que le permitirá ejecutar comandos en el sistema operativo subyacente con privilegios elevados.
  • Vulnerabilidad en Git (CVE-2024-50349)
    Severidad: BAJA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 18/12/2025
    Git es un sistema de control de revisión distribuido, rápido y escalable con un conjunto de comandos inusualmente rico que proporciona operaciones de alto nivel y acceso completo a los elementos internos. Cuando Git solicita credenciales a través de un indicador de terminal (es decir, sin usar ningún asistente de credenciales), imprime el nombre de host para el que se espera que el usuario proporcione un nombre de usuario y/o una contraseña. En esta etapa, todas las partes codificadas en URL ya han sido decodificadas y se imprimen textualmente. Esto permite a los atacantes crear URL que contienen secuencias de escape ANSI que la terminal interpreta para confundir a los usuarios, por ejemplo, para que proporcionen contraseñas para sitios de alojamiento de Git confiables cuando, de hecho, luego se envían a sitios que no son de confianza y que están bajo el control del atacante. Este problema se ha corregido mediante las confirmaciones `7725b81` y `c903985`, que están incluidas en las versiones de lanzamiento v2.48.1, v2.47.1, v2.46.3, v2.45.3, v2.44.3, v2.43.6, v2.42.4, v2.41.3 y v2.40.4. Se recomienda a los usuarios que actualicen la versión. Los usuarios que no puedan actualizar deben evitar la clonación desde URL que no sean de confianza, especialmente clones recursivos.
  • Vulnerabilidad en Git (CVE-2024-52006)
    Severidad: BAJA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 18/12/2025
    Git es un sistema de control de revisión distribuido, escalable y rápido con un conjunto de comandos inusualmente rico que proporciona operaciones de alto nivel y acceso completo a los elementos internos. Git define un protocolo basado en líneas que se utiliza para intercambiar información entre Git y los ayudantes de credenciales de Git. Algunos ecosistemas (en particular, .NET y node.js) interpretan los caracteres de retorno de carro individuales como nuevas líneas, lo que hace que las protecciones contra CVE-2020-5260 sean incompletas para los ayudantes de credenciales que tratan los retornos de carro de esta manera. Este problema se ha abordado en el Commit `b01b9b8`, que se incluye en las versiones de lanzamiento v2.48.1, v2.47.1, v2.46.3, v2.45.3, v2.44.3, v2.43.6, v2.42.4, v2.41.3 y v2.40.4. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben evitar la clonación desde URL que no sean confiables, especialmente clones recursivos.
  • Vulnerabilidad en Git (CVE-2024-52005)
    Severidad: ALTA
    Fecha de publicación: 15/01/2025
    Fecha de última actualización: 18/12/2025
    Git es una herramienta de gestión de código fuente. Al clonar desde un servidor (o buscar o enviar), los mensajes de información o error se transportan desde el proceso Git remoto al cliente a través del llamado "sideband channel". Estos mensajes tendrán el prefijo "remote:" y se imprimirán directamente en la salida de error estándar. Normalmente, esta salida de error estándar está conectada a una terminal que entiende las secuencias de escape ANSI, contra las que Git no protegió. La mayoría de las terminales modernas admiten secuencias de control que pueden ser utilizadas por un actor malintencionado para ocultar y tergiversar información, o para engañar al usuario para que ejecute scripts no confiables. Como se solicitó en la lista de correo git-security, los parches se están discutiendo en la lista de correo pública. Se recomienda a los usuarios que actualicen lo antes posible. Los usuarios que no puedan actualizar deben evitar los clones recursivos a menos que sean de fuentes confiables.
  • Vulnerabilidad en Arm Cortex-A72, Cortex-A73 y Cortex-A75 (CVE-2024-10929)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2025
    Fecha de última actualización: 18/12/2025
    En determinadas circunstancias, un problema en Arm Cortex-A72 (revisiones anteriores a r1p0), Cortex-A73 y Cortex-A75 puede permitir que un adversario obtenga una forma débil de control sobre el historial de la rama de la víctima.
  • Vulnerabilidad en Arm Limited (CVE-2024-7881)
    Severidad: MEDIA
    Fecha de publicación: 28/01/2025
    Fecha de última actualización: 18/12/2025
    Un contexto sin privilegios puede activar un motor de precarga dependiente de la memoria de datos para obtener el contenido de una ubicación privilegiada y consumir ese contenido como una dirección que también está desreferenciada.
  • Vulnerabilidad en kernel de GPU Bifrost de Arm Ltd (CVE-2024-6790)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2025
    Fecha de última actualización: 18/12/2025
    La vulnerabilidad de bucle con condición de salida inalcanzable ('Bucle infinito') en el controlador de kernel de GPU Bifrost de Arm Ltd, el controlador de kernel de GPU Valhall de Arm Ltd y el controlador de kernel de arquitectura de GPU de quinta generación de Arm Ltd permite que un proceso de usuario sin privilegios realice operaciones de procesamiento de memoria de GPU válidas, incluyéndolas a través de WebGL o WebGPU, para provocar que todo sistema deje de responder. Este problema afecta al controlador de kernel de GPU Bifrost: r44p1, desde r46p0 hasta r49p0, desde r50p0 hasta r51p0 controlador de kernel de GPU Valhall: r44p1, desde r46p0 hasta r49p0, desde r50p0 hasta r51p0 controlador de kernel de arquitectura de GPU de quinta generación de Arm: r44p1, desde r46p0 hasta r49p0, desde r50p0 hasta r51p0.
  • Vulnerabilidad en Arm Limited (CVE-2025-0015)
    Severidad: ALTA
    Fecha de publicación: 03/02/2025
    Fecha de última actualización: 18/12/2025
    Vulnerabilidad Use After Free en el controlador del kernel de GPU Valhall de Arm Ltd. El controlador del kernel de la arquitectura de GPU de quinta generación de Arm Ltd permite que un proceso de usuario local sin privilegios realice operaciones de procesamiento de GPU inapropiadas para obtener acceso a la memoria ya liberada. Este problema afecta al controlador del kernel de GPU Valhall: de r48p0 a r49p1, de r50p0 a r52p0; controlador del kernel de la arquitectura de GPU de quinta generación de Arm: de r48p0 a r49p1, de r50p0 a r52p0.
  • Vulnerabilidad en Hermes (CVE-2025-1293)
    Severidad: ALTA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 18/12/2025
    Las versiones de Hermes de hasta 0.4.0 validaron incorrectamente el JWT proporcionado cuando se usa el modo de autenticación AWS Alb, lo que puede permitir el bypass de autenticación. Esta vulnerabilidad, CVE-2025-1293, se fijó en Hermes 0.5.0.
  • Vulnerabilidad en Nomad Community y Nomad Enterprise (CVE-2025-1296)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2025
    Fecha de última actualización: 18/12/2025
    Nomad Community y Nomad Enterprise (“Nomad”) son vulnerables a la exposición involuntaria del token de identidad de la carga de trabajo y del token secreto del cliente en los registros de auditoría. Esta vulnerabilidad, identificada como CVE-2025-1296, está corregida en Nomad Community Edition 1.9.7 y Nomad Enterprise 1.9.7, 1.8.11 y 1.7.19.
  • Vulnerabilidad en Arm Ltd Bifrost GPU Userspace Driver, Arm Ltd Valhall GPU Userspace Driver, Arm Ltd Arm 5th Gen GPU Architecture Userspace Driver (CVE-2025-0050)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 18/12/2025
    Vulnerabilidad de restricción inadecuada de operaciones dentro de los límites de un búfer de memoria en Arm Ltd Bifrost GPU Userspace Driver, Arm Ltd Valhall GPU Userspace Driver, Arm Ltd Arm 5th Gen GPU Architecture Userspace Driver permite que un proceso de usuario sin privilegios realice operaciones de procesamiento de GPU válidas, incluso mediante WebGL o WebGPU, para acceder a una cantidad limitada fuera de los límites del búfer. Este problema afecta al controlador de espacio de usuario de GPU Bifrost: de r0p0 a r49p2 y de r50p0 a r51p0; al controlador de espacio de usuario de GPU Valhall: de r19p0 a r49p2, de r50p0 a r53p0; y al controlador de espacio de usuario de arquitectura de GPU de Arm 5.ª generación: de r41p0 a r49p2 y de r50p0 a r53p0.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38174)
    Severidad: MEDIA
    Fecha de publicación: 04/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: thunderbolt: no desencolar dos veces una solicitud de configuración Algunos de nuestros dispositivos fallan en tb_cfg_request_dequeue(): error de protección general, probablemente para la dirección no canónica 0xdead000000000122 CPU: 6 PID: 91007 Comm: kworker/6:2 Tainted: GUW 6.6.65 RIP: 0010:tb_cfg_request_dequeue+0x2d/0xa0 Rastreo de llamadas: ? tb_cfg_request_dequeue+0x2d/0xa0 tb_cfg_request_work+0x33/0x80 worker_thread+0x386/0x8f0 kthread+0xed/0x110 ret_from_fork+0x38/0x50 ret_from_fork_asm+0x1b/0x30 Las circunstancias no están claras, sin embargo, la teoría es que tb_cfg_request_work() se puede programar dos veces para una solicitud: la primera vez a través de frame.callback desde ring_work() y la segunda vez desde tb_cfg_request(). En ambas ocasiones, los kworkers ejecutarán tb_cfg_request_dequeue(), lo que resulta en un doble list_del() desde ctl->request_queue (la deferencia de envenenamiento de lista lo insinúa: 0xdead000000000122). No saque de la cola las solicitudes que no tengan establecido el bit TB_CFG_REQUEST_ACTIVE.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38177)
    Severidad: MEDIA
    Fecha de publicación: 04/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sch_hfsc: hace que hfsc_qlen_notify() sea idempotente. hfsc_qlen_notify() tampoco es idempotente y no es compatible con quienes lo llaman, como fq_codel_dequeue(). Vamos a convertirlo en idempotente para simplificar la tarea de quienes llaman a qdisc_tree_reduce_backlog(): 1. update_vf() reduce cl->cl_nactive, lo que permite comprobar si es distinto de cero antes de llamarlo. 2. eltree_remove() siempre elimina el nodo RB cl->el_node, pero podemos usar RB_EMPTY_NODE() + RB_CLEAR_NODE() para hacerlo seguro.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38180)
    Severidad: ALTA
    Fecha de publicación: 04/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: atm: fix /proc/net/atm/lec. El manejo de /proc/net/atm/lec debe garantizar la seguridad contra cambios en dev_lec[]. Al parecer, se invocaban llamadas a dev_put() sin dev_hold() previo, lo que provocaba desequilibrio y UAF.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38181)
    Severidad: MEDIA
    Fecha de publicación: 04/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: calipso: Se corrigió un error de referencia nulo (null-ptr-deref) en calipso_req_{set,del}attr(). syzkaller reportó un error de referencia nulo (null-ptr-deref) en sock_omalloc() al asignar una opción de CALIPSO. [0] El valor nulo (NULL) corresponde a la estructura sock, obtenida por sk_to_full_sk() en calipso_req_setattr(). Desde el commit a1a5344ddbe8 ("tcp: evitar dos operaciones atómicas para syncookies"), reqsk->rsk_listener podría ser nulo (NULL) cuando se devuelve una cookie SYN a su cliente, como lo indica el registro principal de cookies SYN. Aquí hay 3 opciones para corregir el error: 1) Devolver 0 en calipso_req_setattr() 2) Devolver un error en calipso_req_setattr() 3) Siempre establecer rsk_listener 1) no es ir ya que omite LSM, pero 2) deshabilita efectivamente SYN Cookie para CALIPSO. 3) tampoco es ir ya que ha habido muchos esfuerzos para reducir las operaciones atómicas y hacer que TCP sea robusto contra DDoS. Vea también el commit 3b24d854cb35 ("tcp/dccp: no toque el oyente sk_refcnt bajo synflood"). A partir de el commit culpada, SYN Cookie ya no necesitaba refcounting, y nadie se ha topado con el error durante 9 años, por lo que a ningún usuario de CALIPSO le importará SYN Cookie. Vamos a devolver un error en calipso_req_setattr() y calipso_req_delattr() en el caso de SYN Cookie. Esto se puede reproducir mediante [1] en Fedora y ahora se agota el tiempo de conexión de connect() de nc. [0]: TCP: request_sock_TCPv6: Posible inundación de SYN en el puerto [::]:20002. Enviando cookies. Ups: fallo de protección general, probablemente para dirección no canónica 0xdffffc0000000006: 0000 [#1] PREEMPT SMP KASAN NOPTI KASAN: null-ptr-deref in range [0x0000000000000030-0x0000000000000037] CPU: 3 UID: 0 PID: 12262 Comm: syz.1.2611 Not tainted 6.14.0 #2 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.16.3-0-ga6ed6b701f0a-prebuilt.qemu.org 04/01/2014 RIP: 0010:read_pnet include/net/net_namespace.h:406 [inline] RIP: 0010:sock_net include/net/sock.h:655 [inline] RIP: 0010:sock_kmalloc+0x35/0x170 net/core/sock.c:2806 Code: 89 d5 41 54 55 89 f5 53 48 89 fb e8 25 e3 c6 fd e8 f0 91 e3 00 48 8d 7b 30 48 b8 00 00 00 00 00 fc ff df 48 89 fa 48 c1 ea 03 <80> 3c 02 00 0f 85 26 01 00 00 48 b8 00 00 00 00 00 fc ff df 4c 8b RSP: 0018:ffff88811af89038 EFLAGS: 00010216 RAX: dffffc0000000000 RBX: 0000000000000000 RCX: ffff888105266400 RDX: 0000000000000006 RSI: ffff88800c890000 RDI: 0000000000000030 RBP: 0000000000000050 R08: 0000000000000000 R09: ffff88810526640e R10: ffffed1020a4cc81 R11: ffff88810526640f R12: 0000000000000000 R13: 0000000000000820 R14: ffff888105266400 R15: 0000000000000050 FS: 00007f0653a07640(0000) GS:ffff88811af80000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f863ba096f4 CR3: 00000000163c0005 CR4: 0000000000770ef0 PKRU: 80000000 Call Trace: ipv6_renew_options+0x279/0x950 net/ipv6/exthdrs.c:1288 calipso_req_setattr+0x181/0x340 net/ipv6/calipso.c:1204 calipso_req_setattr+0x56/0x80 net/netlabel/netlabel_calipso.c:597 netlbl_req_setattr+0x18a/0x440 net/netlabel/netlabel_kapi.c:1249 selinux_netlbl_inet_conn_request+0x1fb/0x320 security/selinux/netlabel.c:342 selinux_inet_conn_request+0x1eb/0x2c0 security/selinux/hooks.c:5551 security_inet_conn_request+0x50/0xa0 security/security.c:4945 tcp_v6_route_req+0x22c/0x550 net/ipv6/tcp_ipv6.c:825 tcp_conn_request+0xec8/0x2b70 net/ipv4/tcp_input.c:7275 tcp_v6_conn_request+0x1e3/0x440 net/ipv6/tcp_ipv6.c:1328 tcp_rcv_state_process+0xafa/0x52b0 net/ipv4/tcp_input.c:6781 tcp_v6_do_rcv+0x8a6/0x1a40 net/ipv6/tcp_ipv6.c:1667 tcp_v6_rcv+0x505e/0x5b50 net/ipv6/tcp_ipv6.c:1904 ip6_protocol_deliver_rcu+0x17c/0x1da0 net/ipv6/ip6_input.c:436 ip6_input_finish+0x103/0x180 net/ipv6/ip6_input.c:480 NF_HOOK include/linux/netfilter.h:314 [inline] NF_HOOK include/linux/netfilter.h:308 [inline] ip6_input+0x13c/0x6b0 net/ipv6/ip6_input.c:491 dst_input include/net/dst.h:469 [inline] ip6_rcv_finish net/ipv6/ip6_input.c ---truncado---
  • Vulnerabilidad en kernel de Linux (CVE-2025-38183)
    Severidad: ALTA
    Fecha de publicación: 04/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: lan743x: corrección de una posible escritura fuera de los límites en lan743x_ptp_io_event_clock_get(). Antes de llamar a lan743x_ptp_io_event_clock_get(), el valor del canal se compara con el valor máximo de PCI11X1X_PTP_IO_MAX_CHANNELS(8). Esto parece correcto y se ajusta a las especificaciones del registro de estado de interrupción PTP (PTP_INT_STS). Sin embargo, lan743x_ptp_io_event_clock_get() escribe en ptp->extts[] solo con elementos LAN743X_PTP_N_EXTTS(4), usando el canal como índice: lan743x_ptp_io_event_clock_get(..., u8 channel,...) { ... /* Actualizar marca de tiempo local */ extts = &ptp->extts[channel]; extts->ts.tv_sec = sec; ... } Para evitar una escritura fuera de los límites y utilizar todas las entradas GPIO compatibles, configure LAN743X_PTP_N_EXTTS en 8. Detectado usando la herramienta de análisis estático - Svace.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38184)
    Severidad: MEDIA
    Fecha de publicación: 04/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tipc: corregir null-ptr-deref al adquirir la IP remota del portador Ethernet Pasos de reproducción: 1. crear una interfaz tun 2. habilitar el portador l2 3. TIPC_NL_UDP_GET_REMOTEIP con el nombre del medio establecido en tun tipc: iniciado en modo de red tipc: identidad del nodo 8af312d38a21, identidad del clúster 4711 tipc: portador habilitado , prioridad 1 Oops: error de protección general KASAN: null-ptr-deref en el rango CPU: 1 UID: 1000 PID: 559 Comm: poc No contaminado 6.16.0-rc1+ #117 PREEMPT Nombre del hardware: QEMU Ubuntu 24.04 PC RIP: 0010:tipc_udp_nl_dump_remoteip+0x4a4/0x8f0 el ub era de hecho un struct dev. cuando bid != 0 y skip_cnt != 0, bearer_list[bid] puede ser NULL u otro medio cuando otro hilo lo cambia. solucione esto comprobando media_id.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38185)
    Severidad: MEDIA
    Fecha de publicación: 04/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: atm: atmtcp: Free invalid length skb in atmtcp_c_send(). syzbot reportó el splat a continuación. [0] vcc_sendmsg() copia los datos pasados del espacio de usuario a skb y los pasa a vcc->dev->ops->send(). atmtcp_c_send() accede a skb->data como struct atmtcp_hdr después de verificar si skb->len es 0, pero no es suficiente. Además, cuando skb->len == 0, skb y sk (vcc) se filtraron porque no se llama a dev_kfree_skb() y falta el ajuste sk_wmem_alloc para revertir atm_account_tx() en vcc_sendmsg(), lo que se espera que se haga en atm_pop_raw(). Liberemos adecuadamente skb con una longitud no válida en atmtcp_c_send(). [0]: ERROR: KMSAN: uninit-value in atmtcp_c_send+0x255/0xed0 drivers/atm/atmtcp.c:294 atmtcp_c_send+0x255/0xed0 drivers/atm/atmtcp.c:294 vcc_sendmsg+0xd7c/0xff0 net/atm/common.c:644 sock_sendmsg_nosec net/socket.c:712 [inline] __sock_sendmsg+0x330/0x3d0 net/socket.c:727 ____sys_sendmsg+0x7e0/0xd80 net/socket.c:2566 ___sys_sendmsg+0x271/0x3b0 net/socket.c:2620 __sys_sendmsg net/socket.c:2652 [inline] __do_sys_sendmsg net/socket.c:2657 [inline] __se_sys_sendmsg net/socket.c:2655 [inline] __x64_sys_sendmsg+0x211/0x3e0 net/socket.c:2655 x64_sys_call+0x32fb/0x3db0 arch/x86/include/generated/asm/syscalls_64.h:47 do_syscall_x64 arch/x86/entry/syscall_64.c:63 [inline] do_syscall_64+0xd9/0x210 arch/x86/entry/syscall_64.c:94 entry_SYSCALL_64_after_hwframe+0x77/0x7f Uninit was created at: slab_post_alloc_hook mm/slub.c:4154 [inline] slab_alloc_node mm/slub.c:4197 [inline] kmem_cache_alloc_node_noprof+0x818/0xf00 mm/slub.c:4249 kmalloc_reserve+0x13c/0x4b0 net/core/skbuff.c:579 __alloc_skb+0x347/0x7d0 net/core/skbuff.c:670 alloc_skb include/linux/skbuff.h:1336 [inline] vcc_sendmsg+0xb40/0xff0 net/atm/common.c:628 sock_sendmsg_nosec net/socket.c:712 [inline] __sock_sendmsg+0x330/0x3d0 net/socket.c:727 ____sys_sendmsg+0x7e0/0xd80 net/socket.c:2566 ___sys_sendmsg+0x271/0x3b0 net/socket.c:2620 __sys_sendmsg net/socket.c:2652 [inline] __do_sys_sendmsg net/socket.c:2657 [inline] __se_sys_sendmsg net/socket.c:2655 [inline] __x64_sys_sendmsg+0x211/0x3e0 net/socket.c:2655 x64_sys_call+0x32fb/0x3db0 arch/x86/include/generated/asm/syscalls_64.h:47 do_syscall_x64 arch/x86/entry/syscall_64.c:63 [inline] do_syscall_64+0xd9/0x210 arch/x86/entry/syscall_64.c:94 entry_SYSCALL_64_after_hwframe+0x77/0x7f CPU: 1 UID: 0 PID: 5798 Comm: syz-executor192 Not tainted 6.16.0-rc1-syzkaller-00010-g2c4a1f3fe03e #0 PREEMPT(undef) Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 05/07/2025
  • Vulnerabilidad en kernel de Linux (CVE-2025-38262)
    Severidad: MEDIA
    Fecha de publicación: 09/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tty: serial: uartlite: registrar el controlador UART en init. Cuando dos instancias de dispositivos UART están realizando pruebas, puede producirse una ejecución de concurrencia. Si un subproceso invoca la función uart_register_driver, que primero asigna memoria al miembro 'uart_state' de la estructura uart_driver, la otra instancia puede omitir el registro del controlador UART y llamar a ulite_assign. Esto invoca uart_add_one_port, que espera que el controlador UART esté completamente inicializado. Esto genera un pánico del kernel debido a una desreferencia de puntero nulo: [8.143581] ERROR: desreferencia de puntero NULL del kernel, dirección: 00000000000002b8 [8.156982] #PF: acceso de escritura del supervisor en modo kernel [8.156984] #PF: error_code(0x0002) - página no presente [8.156986] PGD 0 P4D 0 ... [8.180668] RIP: 0010:mutex_lock+0x19/0x30 [8.188624] Rastreo de llamadas: [ 8.188629] ? __die_body.cold+0x1a/0x1f [ 8.195260] ? page_fault_oops+0x15c/0x290 [ 8.209183] ? __irq_resolve_mapping+0x47/0x80 [ 8.209187] ? exc_page_fault+0x64/0x140 [ 8.209190] ? asm_exc_page_fault+0x22/0x30 [ 8.209196] ? mutex_lock+0x19/0x30 [ 8.223116] uart_add_one_port+0x60/0x440 [ 8.223122] ? proc_tty_register_driver+0x43/0x50 [ 8.223126] ? tty_register_driver+0x1ca/0x1e0 [ 8.246250] ulite_probe+0x357/0x4b0 [uartlite] Para evitarlo, mueva el registro del controlador UART a la función init. Esto garantizará que uart_driver siempre se registre al llamar a la función de sondeo.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38263)
    Severidad: MEDIA
    Fecha de publicación: 09/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bcache: arregla el puntero NULL en cache_set_flush() 1. LÍNEA#1794 - LÍNEA#1887 son algunos códigos sobre la función de bch_cache_set_alloc(). 2. LÍNEA#2078 - LÍNEA#2142 son algunos códigos sobre la función de register_cache_set(). 3. register_cache_set() llamará a bch_cache_set_alloc() en la LÍNEA#2098. 1794 estructura caché_set *bch_cache_set_alloc(estructura caché_sb *sb) 1795 { ... 1860 si (!(c->dispositivos = kcalloc(c->nr_uuids, tamaño de(void *), GFP_KERNEL)) || 1861 mempool_init_slab_pool(&c->búsqueda, 32, bch_búsqueda_cache) || 1862 mempool_init_kmalloc_pool(&c->bio_meta, 2, 1863 tamaño de(estructura bbio) + tamaño de(estructura bio_vec) * 1864 páginas_de_depósito(c)) || 1865 mempool_init_kmalloc_pool(&c->rellenar_iter, 1, tamaño_de_iter) || 1866 bioset_init(&c->bio_split, 4, offsetof(struct bbio, bio), 1867 BIOSET_NEED_BVECS|BIOSET_NEED_RESCUER) || 1868 !(c->uuids = alloc_bucket_pages(GFP_KERNEL, c)) || 1869 !(c->moving_gc_wq = alloc_workqueue("bcache_gc", 1870 WQ_MEM_RECLAIM, 0)) || 1871 bch_journal_alloc(c) || 1872 bch_btree_cache_alloc(c) || 1873 bch_open_buckets_alloc(c) || 1874 bch_bset_sort_state_init(&c->sort, ilog2(c->btree_pages))) 1875 goto err; ^^^^^^^^ 1876 ... 1883 devolver c; 1884 err: 1885 bch_cache_set_unregister(c); ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 1886 devolver NULL; 1887 } ... 2078 static const char *register_cache_set(struct cache *ca) 2079 { ... 2098 c = bch_cache_set_alloc(&ca->sb); 2099 if (!c) 2100 devolver err; ^^^^^^^^^^ ... 2128 ca->set = c; 2129 ca->set->cache[ca->sb.nr_this_dev] = ca; ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^... 2138 return NULL; 2139 err: 2140 bch_cache_set_unregister(c); 2141 return err; 2142 } (1) Si LÍNEA#1860 - LÍNEA#1874 es verdadero, entonces haga 'goto err'(LÍNEA#1875) y llame a bch_cache_set_unregister()(LÍNEA#1885). (2) Como (1) devuelve NULL(LÍNEA#1886), LÍNEA#2098 - LÍNEA#2100 retornaría. (3) Como (2) ha retornado, la LÍNEA n.º 2128 - LÍNEA n.º 2129 *no* daría el valor a c->cache[], lo que significa que c->cache[] es NULL. LA LÍNEA n.º 1624 - LÍNEA n.º 1665 son algunos códigos sobre la función de cache_set_flush(). Como (1), en la LÍNEA n.º 1885 llame a bch_cache_set_unregister() ---> bch_cache_set_stop() ---> closure_queue() -.-> cache_set_flush() (como se muestra a continuación en la LÍNEA n.º 1624) 1624 static void cache_set_flush(struct closure *cl) 1625 { ... 1654 for_each_cache(ca, c, i) 1655 if (ca->alloc_thread) ^^ 1656 kthread_stop(ca->alloc_thread); ... 1665 } (4) En la LÍNEA n.º 1655 ca es NULL (ver (3)) en cache_set_flush(), entonces ocurrió el fallo del núcleo como se muestra a continuación: [846.712887] bcache: error de register_cache() drbd6: no se puede asignar memoria [846.713242] bcache: error de register_bcache(): no se pudo registrar el dispositivo [846.713336] bcache: cache_set_free() Conjunto de caché 2f84bdc1-498a-4f2f-98a7-01946bf54287 no registrado [846.713768] ERROR: no se puede manejar la desreferencia del puntero NULL del núcleo en 00000000000009f8 [846.714790] PGD 0 P4D 0 [ 846.715129] Oops: 0000 [#1] SMP PTI [ 846.715472] CPU: 19 PID: 5057 Comm: kworker/19:16 Kdump: cargado Contaminado: G OE --------- - - 4.18.0-147.5.1.el8_1.5es.3.x86_64 #1 [ 846.716082] Nombre del hardware: ESPAN GI-25212/X11DPL-i, BIOS 2.1 15/06/2018 [ 846.716451] Cola de trabajo: eventos cache_set_flush [bcache] [ 846.716808] RIP: 0010:cache_set_flush+0xc9/0x1b0 [bcache] [ 846.717155] Código: 00 4c 89 a5 b0 03 00 00 48 8b 85 68 f6 ff ff a8 08 0f 84 88 00 00 00 31 db 66 83 bd 3c f7 ff ff 00 48 8b 85 48 ff ff ff 74 28 <48> 8b b8 f8 09 00 0 ---truncado---
  • Vulnerabilidad en kernel de Linux (CVE-2025-38273)
    Severidad: MEDIA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: tipc: corrección de la advertencia de recuento de referencias en tipc_aead_encrypt. syzbot reportó una advertencia de recuento de referencias [1] causada por la llamada a get_net() en un espacio de nombres de red que se está destruyendo (recuento de referencias = 0). Esto ocurre cuando se activa un temporizador de descubrimiento de TIPC durante la limpieza del espacio de nombres de red. La llamada a get_net(), recientemente añadida en el commit e279024617134 ("net/tipc: corrección de la lectura de slab-use-after-free en tipc_aead_encrypt_done"), intenta contener una referencia al espacio de nombres de red. Sin embargo, si el espacio de nombres ya se está destruyendo, su recuento de referencias podría ser cero, lo que genera la advertencia de use-after-free. Reemplace get_net() por perhaps_get_net(), que comprueba de forma segura si el recuento de referencias es distinto de cero antes de incrementarlo. Si el espacio de nombres se está destruyendo, devuelva -ENODEV antes de tiempo, después de liberar la referencia del portador. [1]: https://lore.kernel.org/all/68342b55.a70a0220.253bc2.0091.GAE@google.com/T/#m12019cf9ae77e1954f666914640efa36d52704a2
  • Vulnerabilidad en kernel de Linux (CVE-2025-38275)
    Severidad: MEDIA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: phy: qcom-qmp-usb: Se corrige un error de NULL frente a IS_ERR(). La función auxiliar qmp_usb_iomap() actualmente devuelve el resultado sin procesar de devm_ioremap() para asignaciones no exclusivas. Dado que devm_ioremap() puede devolver un puntero NULL y el llamador solo comprueba los punteros de error con IS_ERR(), NULL podría omitir la comprobación y provocar una desreferencia no válida. Corrija el problema comprobando si devm_ioremap() devuelve NULL. Cuando lo hace, qmp_usb_iomap() ahora devuelve un puntero de error mediante IOMEM_ERR_PTR(-ENOMEM), lo que garantiza un manejo de errores seguro y consistente.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38277)
    Severidad: MEDIA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mtd: nand: ecc-mxic: Se corrige el uso de la variable ret sin inicializar. Si ctx->steps es cero, se omite el procesamiento del bucle de pasos ECC y la variable ret permanece sin inicializar. Posteriormente, se verifica y se devuelve, lo que genera un comportamiento indefinido y puede causar resultados impredecibles en el espacio de usuario o fallos del kernel. Este escenario puede activarse en casos extremos, como una geometría mal configurada, un uso indebido del motor ECC o si ctx->steps no se valida tras la inicialización. Inicialice ret a cero antes del bucle para garantizar un comportamiento correcto y seguro, independientemente del valor de ctx->steps. Encontrado por el Centro de Verificación de Linux (linuxtesting.org) con SVACE.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38280)
    Severidad: ALTA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: evitar __bpf_prog_ret0_warn cuando falla jit syzkaller informó un problema: ADVERTENCIA: CPU: 3 PID: 217 en kernel/bpf/core.c:2357 __bpf_prog_ret0_warn+0xa/0x20 kernel/bpf/core.c:2357 Módulos vinculados: CPU: 3 UID: 0 PID: 217 Comm: kworker/u32:6 No contaminado 6.15.0-rc4-syzkaller-00040-g8bac8898fe39 RIP: 0010:__bpf_prog_ret0_warn+0xa/0x20 kernel/bpf/core.c:2357 Rastreo de llamadas: bpf_dispatcher_nop_func include/linux/bpf.h:1316 [en línea] __bpf_prog_run include/linux/filter.h:718 [en línea] bpf_prog_run include/linux/filter.h:725 [en línea] cls_bpf_classify+0x74a/0x1110 net/sched/cls_bpf.c:105 ... Al crear un programa bpf, 'fp->jit_requested' depende de bpf_jit_enable. Este problema se produce porque CONFIG_BPF_JIT_ALWAYS_ON no está configurado y bpf_jit_enable está configurado en 1, lo que provoca que la arquitectura intente ejecutar el programa JIT, pero el JIT falla debido a FAULT_INJECTION. Como resultado, trata incorrectamente el programa como válido, cuando el programa se ejecuta llama a `__bpf_prog_ret0_warn` y activa WARN_ON_ONCE(1).
  • Vulnerabilidad en kernel de Linux (CVE-2025-38282)
    Severidad: MEDIA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: kernfs: relajar restricción en el drenaje de la protección El ciclo de vida de la referencia activa proporciona el mecanismo de interrupción/desconexión, pero la referencia activa no está verdaderamente activa después de la conexión; los llamadores no la usan después, pero es importante para el emparejamiento adecuado del conteo kn->activo. Suponiendo que este mecanismo está en su lugar, la comprobación WARN en kernfs_should_drain_open_files() es demasiado sensible - puede atrapar transitoriamente a aquellos llamadores (legítimos) entre kernfs_unbreak_active_protection() y kernfs_put_active() como descubrió Chen Ridong: kernfs_remove_by_name_ns kernfs_get_active // active=1 __kernfs_remove // active=0x80000002 kernfs_drain ... wait_event //waiting (active == 0x80000001) kernfs_break_active_protection // active = 0x80000001 // continuar kernfs_unbreak_active_protection // active = 0x80000002 ... kernfs_should_drain_open_files // ocurre una advertencia kernfs_put_active Para evitar los falsos positivos (tenga en cuenta "panic_on_warn"), elimine la comprobación por completo. (Esto es una solución rápida; creo que la interrupción/desconexión de referencias activas se puede simplificar con una revisión más exhaustiva).
  • Vulnerabilidad en kernel de Linux (CVE-2025-38285)
    Severidad: MEDIA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Fix WARN() en get_bpf_raw_tp_regs syzkaller informó de un problema: ADVERTENCIA: CPU: 3 PID: 5971 at kernel/trace/bpf_trace.c:1861 get_bpf_raw_tp_regs+0xa4/0x100 kernel/trace/bpf_trace.c:1861 Modules linked in: CPU: 3 UID: 0 PID: 5971 Comm: syz-executor205 Not tainted 6.15.0-rc5-syzkaller-00038-g707df3375124 #0 PREEMPT(full) Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014 RIP: 0010:get_bpf_raw_tp_regs+0xa4/0x100 kernel/trace/bpf_trace.c:1861 RSP: 0018:ffffc90003636fa8 EFLAGS: 00010293 RAX: 0000000000000000 RBX: 0000000000000003 RCX: ffffffff81c6bc4c RDX: ffff888032efc880 RSI: ffffffff81c6bc83 RDI: 0000000000000005 RBP: ffff88806a730860 R08: 0000000000000005 R09: 0000000000000003 R10: 0000000000000004 R11: 0000000000000000 R12: 0000000000000004 R13: 0000000000000001 R14: ffffc90003637008 R15: 0000000000000900 FS: 0000000000000000(0000) GS:ffff8880d6cdf000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f7baee09130 CR3: 0000000029f5a000 CR4: 0000000000352ef0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: ____bpf_get_stack_raw_tp kernel/trace/bpf_trace.c:1934 [inline] bpf_get_stack_raw_tp+0x24/0x160 kernel/trace/bpf_trace.c:1931 bpf_prog_ec3b2eefa702d8d3+0x43/0x47 bpf_dispatcher_nop_func include/linux/bpf.h:1316 [inline] __bpf_prog_run include/linux/filter.h:718 [inline] bpf_prog_run include/linux/filter.h:725 [inline] __bpf_trace_run kernel/trace/bpf_trace.c:2363 [inline] bpf_trace_run3+0x23f/0x5a0 kernel/trace/bpf_trace.c:2405 __bpf_trace_mmap_lock_acquire_returned+0xfc/0x140 include/trace/events/mmap_lock.h:47 __traceiter_mmap_lock_acquire_returned+0x79/0xc0 include/trace/events/mmap_lock.h:47 __do_trace_mmap_lock_acquire_returned include/trace/events/mmap_lock.h:47 [inline] trace_mmap_lock_acquire_returned include/trace/events/mmap_lock.h:47 [inline] __mmap_lock_do_trace_acquire_returned+0x138/0x1f0 mm/mmap_lock.c:35 __mmap_lock_trace_acquire_returned include/linux/mmap_lock.h:36 [inline] mmap_read_trylock include/linux/mmap_lock.h:204 [inline] stack_map_get_build_id_offset+0x535/0x6f0 kernel/bpf/stackmap.c:157 __bpf_get_stack+0x307/0xa10 kernel/bpf/stackmap.c:483 ____bpf_get_stack kernel/bpf/stackmap.c:499 [inline] bpf_get_stack+0x32/0x40 kernel/bpf/stackmap.c:496 ____bpf_get_stack_raw_tp kernel/trace/bpf_trace.c:1941 [inline] bpf_get_stack_raw_tp+0x124/0x160 kernel/trace/bpf_trace.c:1931 bpf_prog_ec3b2eefa702d8d3+0x43/0x47 Un punto de seguimiento como trace_mmap_lock_acquire_returned puede causar una llamada anidada, como se muestra en el caso anterior, que se resolverá con un método más general en el futuro. Como resultado, se activará WARN_ON_ONCE. Como sugirió Alexei, elimine primero WARN_ON_ONCE.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38286)
    Severidad: ALTA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: at91: Se corrige un posible acceso fuera de los límites. at91_gpio_probe() no comprueba si el alias OF dado no está disponible o si algo salió mal al intentar obtenerlo. Esto podría tener consecuencias al acceder a la matriz gpio_chips con ese valor como índice. Tenga en cuenta que BUG() se puede compilar y, por lo tanto, no realizará las comprobaciones necesarias.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38293)
    Severidad: MEDIA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 18/12/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: ath11k: corrección de corrupción de nodos en la lista ar->arvifs. En el flujo de código de recuperación de WLAN actual, ath11k_core_halt() solo reinicializa la cabecera de lista "arvifs". Esto provocará que el nodo de lista inmediatamente posterior a la cabecera de lista se convierta en un nodo de lista inválido. Esto se debe a que el nodo anterior de ese nodo aún apunta a la cabecera de lista "arvifs", pero el siguiente ya no apunta a ese nodo. Cuando se produce una recuperación de WLAN durante la ejecución de una eliminación de vif, y esto ocurre antes de spin_lock_bh(&ar->data_lock) en ath11k_mac_op_remove_interface(), list_del() detectará la situación mencionada anteriormente, lo que activará un pánico del kernel. La solución consiste en eliminar y reinicializar todos los nodos de lista vif de la cabecera de lista "arvifs" durante la detención de WLAN. La reinicialización sirve para hacer que los nodos de la lista sean válidos, garantizando que list_del() en ath11k_mac_op_remove_interface() pueda ejecutarse normalmente. Rastreo de llamadas: __list_del_entry_valid_or_report+0xb8/0xd0 ath11k_mac_op_remove_interface+0xb0/0x27c [ath11k] drv_remove_interface+0x48/0x194 [mac80211] ieee80211_do_stop+0x6e0/0x844 [mac80211] ieee80211_stop+0x44/0x17c [mac80211] __dev_close_many+0xac/0x150 __dev_change_flags+0x194/0x234 dev_change_flags+0x24/0x6c devinet_ioctl+0x3a0/0x670 inet_ioctl+0x200/0x248 sock_do_ioctl+0x60/0x118 sock_ioctl+0x274/0x35c __arm64_sys_ioctl+0xac/0xf0 invoke_syscall+0x48/0x114 ... Probado en: QCA6698AQ hw2.1 PCI WLAN.HSP.1.1-04591-QCAHSPSWPL_V1_V2_SILICONZ_IOE-1
  • Vulnerabilidad en Arm Ltd Bifrost GPU Userspace Driver, Arm Ltd Valhall GPU Userspace Driver, Arm Ltd Arm 5th Gen GPU Architecture Userspace Driver (CVE-2025-0932)
    Severidad: MEDIA
    Fecha de publicación: 04/08/2025
    Fecha de última actualización: 18/12/2025
    Vulnerabilidad de Use After Free en Arm Ltd Bifrost GPU Userspace Driver, Arm Ltd Valhall GPU Userspace Driver, Arm Ltd Arm 5th Gen GPU Architecture Userspace Driver permite que un proceso de usuario sin privilegios realice operaciones de procesamiento de GPU válidas, incluso mediante WebGL o WebGPU, para obtener acceso a memoria ya liberada. Este problema afecta a los controladores de espacio de usuario de GPU Bifrost: de r48p0 a r49p3 y de r50p0 a r51p0; a los controladores de espacio de usuario de GPU Valhall: de r48p0 a r49p3 y de r50p0 a r54p0; y a los controladores de espacio de usuario de arquitectura de GPU de Arm 5.ª generación: de r48p0 a r49p3 y de r50p0 a r54p0.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43750)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 18/12/2025
    Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q1.0 a 2025.Q1.1, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.19 y 7.4 GA hasta la actualización 92 permiten a usuarios remotos no autenticados (invitados) cargar archivos a través del campo adjunto del formulario sin una validación adecuada, lo que permite la ofuscación de la extensión y eludir las comprobaciones de tipo MIME.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43751)
    Severidad: MEDIA
    Fecha de publicación: 22/08/2025
    Fecha de última actualización: 18/12/2025
    La vulnerabilidad de enumeración de usuarios en Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2024.Q4.0 a 2024.Q4.7, 2024.Q3.0 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.14, 2023.Q4.0 a 2023.Q4.10, 2023.Q3.1 a 2023.Q3.10 y 7.4 GA hasta la actualización 92 permite a atacantes remotos determinar si existe una cuenta en la aplicación a través de la página de creación de cuenta.