Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Xenstore (CVE-2022-42321)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden bloquear xenstored al agotar la pila. Xenstored utiliza la recursividad para algunas operaciones de Xenstore (por ejemplo, para eliminar un subárbol de nodos de Xenstore). Con niveles de anidamiento suficientemente profundos, esto puede provocar el agotamiento de la pila en xenstored, lo que provocará un fallo de xenstored.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42309)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: Los invitados pueden bloquear xenstored Debido a un error en la solución de XSA-115, un invitado malintencionado puede hacer que xenstored use un puntero incorrecto durante la creación del nodo en una ruta de error, lo que resulta en una falla de xenstored o una corrupción de la memoria en xenstored, lo que provoca más daño. El invitado puede controlar el ingreso de la ruta de error, por ejemplo, excediendo el valor de cuota de nodos máximos por dominio.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42320)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden obtener acceso a los nodos de Xenstore de los dominios eliminados. Los derechos de acceso de los nodos de Xenstore son por domid. Cuando un dominio desaparece, es posible que queden nodos de Xenstore con derechos de acceso que contengan el dominio del dominio eliminado. Normalmente, esto no supone ningún problema, ya que esas entradas de derechos de acceso se corregirán cuando dicho nodo se escriba más adelante. Hay una pequeña ventana de tiempo cuando se crea un nuevo dominio, donde los derechos de acceso de un dominio anterior con el mismo dominio que el nuevo se considerarán todavía válidos, lo que permitirá que el nuevo dominio pueda obtener acceso a un nodo. que estaba destinado a ser accesible por el dominio eliminado. Para que esto suceda, otro dominio debe escribir el nodo antes de que dom0 introduzca el dominio recién creado en Xenstore.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42319)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: Los invitados pueden hacer que Xenstore no libere memoria temporal Cuando trabaja en una solicitud de un invitado, es posible que xenstored necesite asignar cantidades bastante grandes de memoria temporalmente. Esta memoria se libera sólo después de que la solicitud haya finalizado por completo. Una solicitud se considera finalizada sólo después de que el huésped haya leído el mensaje de respuesta de la solicitud desde la página de timbre. Por lo tanto, un invitado que no lea la respuesta puede hacer que xenstored no libere la memoria temporal. Esto puede provocar escasez de memoria y provocar Denegación de Servicio (DoS) de xenstored.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42318)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden dejar ejecutar xenstored sin memoria. Este registro de información CNA se relaciona con múltiples CVE; el texto explica qué aspectos/vulnerabilidades corresponden a cada CVE.] Los invitados maliciosos pueden hacer que xenstored asigne grandes cantidades de memoria, lo que eventualmente resultará en una Denegación de Servicio (DoS) de xenstored. Hay varias maneras en que los invitados pueden provocar grandes asignaciones de memoria en xenstored: - - emitiendo nuevas solicitudes a xenstored sin leer las respuestas, lo que hace que las respuestas se almacenen en la memoria - - provocando que se genere una gran cantidad de eventos de observación mediante la configuración múltiples vigilancias de xenstore y luego, por ejemplo, eliminar muchos nodos de xenstore debajo de la ruta vigilada - - creando tantos nodos como se permita con el tamaño y la longitud de ruta máximos permitidos en tantas transacciones como sea posible - - accediendo a muchos nodos dentro de una transacción
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025

Vulnerabilidad en Xenstore (CVE-2022-42311)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden dejar ejecutar xenstored sin memoria. Este registro de información CNA se relaciona con múltiples CVE; el texto explica qué aspectos/vulnerabilidades corresponden a cada CVE.] Los invitados maliciosos pueden hacer que xenstored asigne grandes cantidades de memoria, lo que eventualmente resultará en una Denegación de Servicio (DoS) de xenstored. Hay varias maneras en que los invitados pueden provocar grandes asignaciones de memoria en xenstored: - - emitiendo nuevas solicitudes a xenstored sin leer las respuestas, lo que hace que las respuestas se almacenen en la memoria - - provocando que se genere una gran cantidad de eventos de observación mediante la configuración múltiples vigilancias de xenstore y luego, por ejemplo, eliminar muchos nodos de xenstore debajo de la ruta vigilada - - creando tantos nodos como se permita con el tamaño y la longitud de ruta máximos permitidos en tantas transacciones como sea posible - - accediendo a muchos nodos dentro de una transacción
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2025

Vulnerabilidad en Xenstore (CVE-2022-42310)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden crear nodos huérfanos de Xenstore al crear varios nodos dentro de una transacción que genera un error, un invitado malintencionado puede crear nodos huérfanos en la base de datos de Xenstore, ya que la limpieza después del error no eliminará todos los nodos ya creados. Cuando la transacción se confirma después de esta situación, los nodos sin un padre válido pueden hacerse permanentes en la base de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42317)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden dejar ejecutar xenstored sin memoria. Este registro de información CNA se relaciona con múltiples CVE; el texto explica qué aspectos/vulnerabilidades corresponden a cada CVE.] Los invitados maliciosos pueden hacer que xenstored asigne grandes cantidades de memoria, lo que eventualmente resultará en una Denegación de Servicio (DoS) de xenstored. Hay varias maneras en que los invitados pueden provocar grandes asignaciones de memoria en xenstored: - - emitiendo nuevas solicitudes a xenstored sin leer las respuestas, lo que hace que las respuestas se almacenen en la memoria - - provocando que se genere una gran cantidad de eventos de observación mediante la configuración múltiples vigilancias de xenstore y luego, por ejemplo, eliminar muchos nodos de xenstore debajo de la ruta vigilada - - creando tantos nodos como se permita con el tamaño y la longitud de ruta máximos permitidos en tantas transacciones como sea posible - - accediendo a muchos nodos dentro de una transacción
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025

Vulnerabilidad en Apache Tomcat (CVE-2022-42252)
Fecha de publicación:
01/11/2022
Idioma:
Español
Si Apache Tomcat 8.5.0 a 8.5.82, 9.0.0-M1 a 9.0.67, 10.0.0-M1 a 10.0.26 o 10.1.0-M1 a 10.1.0 se configuró para ignorar encabezados HTTP no válidos mediante la configuración de rechazarIllegalHeader a falso (el valor predeterminado solo para 8.5.x), Tomcat no rechazó una solicitud que contenía un encabezado Content-Length no válido, lo que hace posible un ataque de contrabando de solicitudes si Tomcat estaba ubicado detrás de un proxy inverso que tampoco rechazó la solicitud con el encabezado no válido.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/05/2025

Vulnerabilidad en bdservicehost.exe en Bitdefender Engines (CVE-2022-3369)
Fecha de publicación:
01/11/2022
Idioma:
Español
Una vulnerabilidad de control de acceso inadecuado en el componente bdservicehost.exe, tal como se utiliza en Bitdefender Engines para Windows, permite a un atacante eliminar claves de registro privilegiadas apuntando un enlace simbólico del Registro a una clave privilegiada. Este problema afecta a: Versiones de Bitdefender Engines anteriores a la 7.92659. También afecta a Bitdefender Antivirus Free, Bitdefender Antivirus Plus, Bitdefender Internet Security, Bitdefender Total Security, así como a Bitdefender Endpoint Security Tools para Windows con versiones de motor anteriores a la 7.92659.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/09/2024

Vulnerabilidad en hummus (CVE-2022-25892)
Fecha de publicación:
01/11/2022
Idioma:
Español
El paquete muhammara antes de 2.6.1, desde 3.0.0 y antes de 3.1.1; Todas las versiones del paquete hummus son vulnerables a la Denegación de Servicio (DoS) cuando se les suministra un archivo PDF creado con fines maliciosos para su análisis.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2022

Vulnerabilidad en hummus (CVE-2022-25885)
Fecha de publicación:
01/11/2022
Idioma:
Español
El paquete muhammara antes de 2.6.0; Todas las versiones del paquete hummus son vulnerables a la Denegación de Servicio (DoS) cuando se utiliza PDFStreamForResponse() con datos no válidos.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/05/2025
Suscribirse a Vulnerabilidades