Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Contiki-NG (CVE-2022-36054)
Fecha de publicación:
01/09/2022
Idioma:
Español
Contiki-NG es un sistema operativo de código abierto y multiplataforma para dispositivos IoT de Próxima Generación. La implementación de 6LoWPAN en el sistema operativo Contiki-NG (archivo os/net/ipv6/sicslowpan.c) contiene una función de entrada que procesa los paquetes entrantes y los copia en un búfer de paquetes. Debido a una falta de comprobación de longitud en la función de entrada, es posible escribir fuera de límites del búfer de paquetes. La vulnerabilidad puede ser explotada por cualquiera que tenga la posibilidad de enviar paquetes 6LoWPAN a un sistema Contiki-NG. En particular, la vulnerabilidad queda expuesta cuando es enviado cualquiera de los dos tipos de paquetes 6LoWPAN: un paquete no fragmentado o el primer fragmento de un paquete fragmentado. Si el paquete es lo suficientemente grande, una copia de memoria posterior causará una escritura fuera de límites con los datos suministrados por el atacante
Gravedad CVSS v3.1: ALTA
Última modificación:
07/09/2022

Vulnerabilidad en Contiki-NG (CVE-2022-36053)
Fecha de publicación:
01/09/2022
Idioma:
Español
Contiki-NG es un sistema operativo de código abierto y multiplataforma para dispositivos IoT de Próxima Generación. La pila de red IPv6 de bajo consumo de Contiki-NG presenta un módulo de búfer (os/net/ipv6/uipbuf.c) que procesa los encabezados de extensión IPv6 en los paquetes de datos entrantes. Como parte de este procesamiento, la función uipbuf_get_next_header lanza un puntero a una estructura uip_ext_hdr en el búfer del paquete en los diferentes desplazamientos en los que es esperado encontrar las cabeceras de extensión, y luego lee de esta estructura. Debido a una falta de comprobación de límites, el casting puede hacerse de manera que la estructura sea extendida más allá del final del paquete. Por lo tanto, con un paquete cuidadosamente diseñado, es posible causar que el sistema Contiki-NG lea datos fuera del buffer del paquete. En Contiki-NG versión 4.8 es incluido un parche que corrige la vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/09/2022

Vulnerabilidad en Contiki-NG (CVE-2022-36052)
Fecha de publicación:
01/09/2022
Idioma:
Español
Contiki-NG es un sistema operativo de código abierto y multiplataforma para dispositivos IoT de Próxima Generación. La implementación de 6LoWPAN en Contiki-NG puede lanzar una estructura de encabezado UDP en un determinado desplazamiento en un búfer de paquetes. El código no comprueba si el búfer de paquetes es lo suficientemente grande como para que quepa una estructura de encabezado UDP completa a partir del desplazamiento en el que es realizado el casting. Por lo tanto, es posible causar una lectura fuera de límites más allá del buffer de paquetes. El problema afecta a cualquiera que ejecute dispositivos con Contiki-NG versiones anteriores a 4.8, y que puedan recibir paquetes 6LoWPAN de partes externas. El problema ha sido parcheado en Contiki-NG versión 4.8
Gravedad CVSS v3.1: ALTA
Última modificación:
07/09/2022

Vulnerabilidad en el repositorio GitHub francoisjacquet/rosariosis (CVE-2022-3072)
Fecha de publicación:
01/09/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Almacenado en el repositorio GitHub francoisjacquet/rosariosis versiones anteriores a 8.9.3
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/09/2022

Vulnerabilidad en el controlador del kernel de la GPU Arm Mali (CVE-2022-36449)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado un problema en el controlador del kernel de la GPU Arm Mali. Un usuario no privilegiado puede realizar operaciones inapropiadas de procesamiento de la GPU para conseguir acceso a la memoria ya liberada, escribir una cantidad limitada fuera de límites del búfer o divulgar detalles de las asignaciones de memoria. Esto afecta a Midgard versiones r4p0 hasta r32p0, Bifrost versiones r0p0 hasta r38p0 y r39p0 anteriores a r38p1, y Valhall versiones r19p0 hasta r38p0 y r39p0 anteriores a r38p1
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/04/2025

Vulnerabilidad en la API de descarga de archivos en segundo plano en Novel-Plus (CVE-2022-36671)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado que Novel-Plus versión v3.6.2, contiene una vulnerabilidad de descarga de archivos arbitraria por medio de la API de descarga de archivos en segundo plano
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2023

Vulnerabilidad en el archivo de configuración del proyecto en Novel-Plus (CVE-2022-36672)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado que Novel-Plus versión v3.6.2, contiene una clave JWT embebida en el archivo de configuración del proyecto. Esta vulnerabilidad permite a atacantes crear una sesión de usuario personalizada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/09/2023

Vulnerabilidad en el parámetro id en el archivo /schedules/view_schedule.php en Simple Task Scheduling System (CVE-2022-36674)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado que Simple Task Scheduling System versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro id en el archivo /schedules/view_schedule.php
Gravedad CVSS v3.1: ALTA
Última modificación:
02/09/2022

Vulnerabilidad en el parámetro id en el archivo /schedules/manage_schedule.php en Simple Task Scheduling System (CVE-2022-36675)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado que Simple Task Scheduling System versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro id en el archivo /schedules/manage_schedule.php
Gravedad CVSS v3.1: ALTA
Última modificación:
02/09/2022

Vulnerabilidad en el parámetro id en el archivo /categories/view_category.php en Simple Task Scheduling System (CVE-2022-36676)
Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado que Simple Task Scheduling System versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro id en el archivo /categories/view_category.php
Gravedad CVSS v3.1: ALTA
Última modificación:
02/09/2022

Vulnerabilidad en HashiCorp Boundary (CVE-2022-36130)
Fecha de publicación:
01/09/2022
Idioma:
Español
HashiCorp Boundary versiones hasta 0.10.1, no llevaba a cabo apropiadamente las comprobaciones de integridad de los datos para garantizar que los recursos estuvieran asociados a los ámbitos correctos, lo que permitía una potencial escalada de privilegios para usuarios autorizados de otro ámbito. Corregido en Boundary versión 0.10.2
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/09/2022

Vulnerabilidad en ZITADEL (CVE-2022-36051)
Fecha de publicación:
31/08/2022
Idioma:
Español
ZITADEL combina la facilidad de Auth0 y la versatilidad de Keycloak.**Acciones**, introducido en ZITADEL versión **1.42.0** en la API y versión **1.56.0** para la Consola, es una característica, donde los usuarios con rol."ORG_OWNER" son capaces de crear Código Javascript, que es invocado por el sistema en ciertos puntos durante el login. Las **Acciones**, por ejemplo, permiten crear autorizaciones (subvenciones a usuarios) en usuarios recién creados de forma programática. Debido a una falta de comprobación de autorizaciones, las **Actions** podían conceder autorizaciones a proyectos que pertenecían a otras organizaciones dentro de la misma Instancia. La concesión de autorizaciones por medio de la API y la consola no está afectada por esta vulnerabilidad. Actualmente no se presenta una mitigación conocida, los usuarios deben actualizar
Gravedad CVSS v3.1: ALTA
Última modificación:
09/09/2022
Suscribirse a Vulnerabilidades