Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el módulo h2 webconsole (CVE-2022-42467)
Fecha de publicación:
19/10/2022
Idioma:
Español
Cuando es ejecutado en modo prototipo, el módulo h2 webconsole (accesible desde el menú Prototipo) es puesto automáticamente a disposición con la capacidad de consultar directamente la base de datos. Ha sido considerado que es más seguro exigir al desarrollador que habilite explícitamente esta capacidad. A partir de la versión 2.0.0-M8, esto puede hacerse usando la propiedad de configuración "isis.prototyping.h2-console.web-allow-remote-access"; la consola web no estará disponible si no es establecida esta configuración. Como protección adicional, el nuevo parámetro de configuración "isis.prototyping.h2-console.generate-random-web-admin-password" (habilitado por defecto) requiere que el administrador use una contraseña generada aleatoriamente para usar la consola. La contraseña es impresa en el registro, como "webAdminPass: xxx" (donde "xxx" es la contraseña. Para volver al comportamiento original, el administrador tendría que establecer estos parámetros de configuración: isis.prototyping.h2-console.web-allow-remote-access=true isis.prototyping.h2-console.generate-random-web-admin-password=false Tenga en cuenta también que la consola web h2 nunca está disponible en modo de producción, por lo que estas salvaguardas son sólo para asegurar que la consola web está asegurada por defecto también en modo prototipo
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/08/2024

Vulnerabilidad en los modelos MVPower CCTV DVR (CVE-2016-20016)
Fecha de publicación:
19/10/2022
Idioma:
Español
Los modelos MVPower CCTV DVR, incluyendo TV-7104HE 1.8.4 115215B9 y TV7108HE, contienen un shell web que es accesible por medio de un URI /shell. Un atacante remoto no autenticado puede ejecutar comandos arbitrarios del sistema operativo como root. Esta vulnerabilidad también ha sido denominado "JAWS webserver RCE" debido al campo del servidor de respuesta HTTP fácilmente identificable. Otras versiones de firmware, al menos desde 2014 hasta 2019, pueden verse afectadas. Esto fue explotado "in the wild" en 2017 hasta 2022
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/05/2025

Vulnerabilidad en el parámetro cli login.cgi en los dispositivos D-Link DSL-2750B (CVE-2016-20017)
Fecha de publicación:
19/10/2022
Idioma:
Español
Los dispositivos D-Link DSL-2750B versiones anteriores a 1.05, permiten una inyección remota de comandos no autenticados por medio del parámetro cli login.cgi, como ha sido explotado "in the wild" en 2016 hasta 2022
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/11/2025

Vulnerabilidad en OcoMon (CVE-2022-40798)
Fecha de publicación:
19/10/2022
Idioma:
Español
OcoMon versión 4.0RC1, es vulnerable a un Control de Acceso Incorrecto. Mediante una petición el usuario puede obtener el correo electrónico real, enviando la misma petición con el correo electrónico correcto es una toma de control de cuenta
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2025

Vulnerabilidad en el módulo Document and Media - funcionalidad de carga de archivos en Liferay Digital Experience Platform (CVE-2022-38901)
Fecha de publicación:
19/10/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site scripting (XSS) en el módulo Document and Media - funcionalidad de descarga de archivos en Liferay Digital Experience Platform versión 7.3.10 SP3, permite a atacantes remotos inyectar scripts JS o HTML arbitrarias en el campo description del archivo svg descargado
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/05/2025

Vulnerabilidad en Corsair K63 Wireless (CVE-2022-35860)
Fecha de publicación:
19/10/2022
Idioma:
Español
Una falta de cifrado AES en Corsair K63 Wireless versión 3.1.3, permite a atacantes físicamente próximos inyectar y husmear las pulsaciones de teclas por medio de transmisiones de radio de 2,4 GHz
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/05/2025

Vulnerabilidad en el endpoint addressedit en nopcommerce (CVE-2022-33077)
Fecha de publicación:
19/10/2022
Idioma:
Español
Un problema de control de acceso en nopcommerce versión v4.50.2, permite a atacantes modificar arbitrariamente la dirección de cualquier cliente por medio del endpoint addressedit
Gravedad CVSS v3.1: ALTA
Última modificación:
09/05/2025

Vulnerabilidad en los componentes Members Center, Editorial Membership y Points Recharge en EyouCMS (CVE-2022-41500)
Fecha de publicación:
18/10/2022
Idioma:
Español
Se ha detectado que EyouCMS versión V1.5.9, contiene múltiples vulnerabilidades de tipo Cross-Site Request Forgery (CSRF) por medio de los componentes Members Center, Editorial Membership y Points Recharge
Gravedad CVSS v3.1: ALTA
Última modificación:
15/05/2025

Vulnerabilidad en el archivo /sacco_shield/manage_loan.php en Open Source SACCO Management System (CVE-2022-42218)
Fecha de publicación:
18/10/2022
Idioma:
Español
Open Source SACCO Management System versión v1.0, es vulnerable a una inyección SQL por medio del archivo /sacco_shield/manage_loan.php
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2025

Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2022-39427)
Fecha de publicación:
18/10/2022
Idioma:
Español
Una vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones soportadas que están afectadas son anteriores a 6.1.40. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la infraestructura en la que es ejecutado Oracle VM VirtualBox, poner en peligro Oracle VM VirtualBox. Mientras la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. Nota: Esta vulnerabilidad es aplicada únicamente a los sistemas Windows. CVSS 3.1 Puntuación Base 8.8 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2022

Vulnerabilidad en el producto Oracle Web Applications Desktop Integrator de Oracle E-Business Suite (componente: Upload) (CVE-2022-39428)
Fecha de publicación:
18/10/2022
Idioma:
Español
Una vulnerabilidad en el producto Oracle Web Applications Desktop Integrator de Oracle E-Business Suite (componente: Upload). Las versiones soportadas que están afectadas son 12.2.3-12.2.11. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Web Applications Desktop Integrator. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Web Applications Desktop Integrator. CVSS 3.1 Puntuación Base 9.8 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/10/2022

Vulnerabilidad en el widget Sort del módulo Portal Search en Liferay Portal y Liferay DXP (CVE-2022-42112)
Fecha de publicación:
18/10/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site scripting (XSS) en el widget Sort del módulo Portal Search en Liferay Portal versiones 7.2.0 hasta 7.4.3.24, y Liferay DXP 7.2 versiones anteriores a fix pack 19, 7.3 anteriores a update 5, y DXP versiones 7.4 anteriores a update 25, permite a atacantes remotos inyectar scripts web o HTML arbitrarios por medio de una carga útil diseñada
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025
Suscribirse a Vulnerabilidades