Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en OpenShift Container Platform (CVE-2022-2403)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha encontrado un filtrado de credenciales en OpenShift Container Platform. La clave privada del certificado del clúster externo es almacenada de forma incorrecta en el ConfigMaps oauth-serving-cert, y era accesible para cualquier usuario o cuenta de servicio autenticada de OpenShift. Un usuario malicioso podría aprovechar este fallo al leer el ConfigMap de oauth-serving-cert en el espacio de nombres openshift-config-managed, comprometiendo cualquier tráfico web asegurado con ese certificado
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2023

Vulnerabilidad en la función nf_conntrack_irc en el kernel de Linux (CVE-2022-2663)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha encontrado un problema en el kernel de Linux en la función nf_conntrack_irc en el que el manejo de los mensajes puede confundirse y hacerlos coincidir incorrectamente. Se ha encontrado un problema en el kernel de Linux en nf_conntrack_irc donde el manejo de mensajes puede confundirse y coincidir incorrectamente con el mensaje
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2023

Vulnerabilidad en Red Hat Enterprise Linux 7 Extras (CVE-2022-2738)
Fecha de publicación:
01/09/2022
Idioma:
Español
La versión de podman publicada para Red Hat Enterprise Linux 7 Extras por medio del aviso RHSA-2022:2190 incluía una versión incorrecta de podman que carecía de la corrección para CVE-2020-8945, que fue previamente corregida por medio de RHSA-2020:2117. Este problema podría usarse para bloquear o causar una posible ejecución de código en aplicaciones Go que usan la biblioteca envolvente Go GPGME, bajo determinadas condiciones, durante la verificación de la firma GPG
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2023

Vulnerabilidad en el backend VDUSE en vDPA (CVE-2022-2308)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha encontrado un fallo en vDPA con el backend VDUSE. Actualmente no se presentan comprobaciones en el controlador del kernel de VDUSE para asegurar que el tamaño del espacio de configuración del dispositivo está en línea con las características anunciadas por la aplicación de espacio de usuario de VDUSE. En caso de desajuste, los ayudantes de lectura de configuración de los controladores de Virtio no inicializan la memoria pasada indirectamente a vduse_vdpa_get_config() devolviendo memoria no inicializada de la pila. Esto podría causar un comportamiento indefinido o filtrado de datos en los controladores de Virtio
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2022

Vulnerabilidad en Red Hat Enterprise Linux 7 Extras (CVE-2022-2739)
Fecha de publicación:
01/09/2022
Idioma:
Español
La versión de podman publicada para Red Hat Enterprise Linux 7 Extras por medio del aviso RHSA-2022:2190 incluía una versión incorrecta de podman que carecía de la corrección de CVE-2020-14370, que se había corregido previamente por medio de RHSA-2020:5056. Este problema podría permitir a un atacante acceder a información confidencial almacenada en variables de entorno
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2023

Vulnerabilidad en Undertow (CVE-2022-2764)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha encontrado un fallo en Undertow. Puede producirse una denegación de servicio ya que el servidor de Undertow espera eternamente el LAST_CHUNK para las invocaciones EJB
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2022

Vulnerabilidad en Keystone (CVE-2022-2447)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha encontrado un fallo en Keystone. Hay un desfase (de hasta una hora en una configuración por defecto) entre el momento en que la política de seguridad dice que un token debe ser revocado y el momento en que realmente lo es. Esto podría permitir a un administrador remoto mantener secretamente el acceso durante más tiempo del esperado
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2022

Vulnerabilidad en keycloak en Red Hat Single Sign-On (CVE-2022-2256)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad de tipo Cross-site scripting (XSS) Almacenado en keycloak tal y como es suministrado en Red Hat Single Sign-On versión 7. Este fallo permite a un atacante privilegiado ejecutar scripts maliciosos en la consola de administración, abusando de la funcionalidad de los roles por defecto
Gravedad CVSS v3.1: BAJA
Última modificación:
18/10/2022

Vulnerabilidad en el módulo del kernel openvswitch (CVE-2022-2639)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha encontrado un error de coerción de enteros en el módulo del kernel openvswitch. Dado un número suficientemente grande de acciones, mientras ses copiado y es reservada memoria para una nueva acción de un nuevo flujo, la función reserve_sfa_size() no devuelve -EMSGSIZE como es esperado, conllevando potencialmente a un acceso de escritura fuera de límites. Este fallo permite a un usuario local bloquearse o potencialmente escalar sus privilegios en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
02/02/2024

Vulnerabilidad en la función perf_event_open() en el kernel de Linux (CVE-2022-1729)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha encontrado una condición de carrera en el kernel de Linux en la función perf_event_open() que puede ser explotada por un usuario no privilegiado para conseguir privilegios de root. El bug permite construir varias primitivas de explotación como un filtrado de información de direcciones del kernel, una ejecución arbitraria, etc
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2023

Vulnerabilidad en ovirt-log-collector/sosreport (CVE-2022-2806)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado que ovirt-log-collector/sosreport recoge la contraseña de administrador de RHV sin filtrar. Corregido en: sos-4.2-20.el8_6, ovirt-log-collector-4.4.7-2.el8ev
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/09/2022

Vulnerabilidad en un símbolo mangled en el archivo d-demangle.c en la función dlang_lname en libiberty (CVE-2021-3826)
Fecha de publicación:
01/09/2022
Idioma:
Español
Un desbordamiento del búfer de la pila en la función dlang_lname en el archivo d-demangle.c en libiberty permite a atacantes causar potencialmente una denegación de servicio (fallo de segmentación y caída) por medio de un símbolo mangled diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2024
Suscribirse a Vulnerabilidades