Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el flag pre_dispatch en la clase Parallel() en el paquete joblib (CVE-2022-21797)
Fecha de publicación:
26/09/2022
Idioma:
Español
El paquete joblib versiones a partir de 0 anteriores a 1.2.0, son vulnerables a una Ejecución de Código Arbitraria por medio del flag pre_dispatch en la clase Parallel() debido a la sentencia eval().<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/08/2024

Vulnerabilidad en la configuración Sudo en Zimbra Collaboration (ZCS) (CVE-2022-41347)
Fecha de publicación:
26/09/2022
Idioma:
Español
Se ha detectado un problema en Zimbra Collaboration (ZCS) versiones 8.8.x y 9.x (por ejemplo, 8.8.15). La configuración Sudo permite al usuario zimbra ejecutar el binario NGINX como root con parámetros arbitrarios. Como parte de su funcionalidad prevista, NGINX puede cargar un archivo de configuración definido por el usuario, que incluye plugins en forma de archivos .so, que también son ejecutados como root.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2025

Vulnerabilidad en Zimbra Collaboration (ZCS) (CVE-2022-41352)
Fecha de publicación:
26/09/2022
Idioma:
Español
Se ha detectado un problema en Zimbra Collaboration (ZCS) versiones 8.8.15 y 9.0. Un atacante puede descargar archivos arbitrarios mediante amavisd por medio de un loophole de cpio (extracción a /opt/zimbra/jetty/webapps/zimbra/public) que puede conllevar a un acceso incorrecto a cualquier otra cuenta de usuario. Zimbra recomienda pax sobre cpio. Además, pax está en los prerrequisitos de Zimbra en Ubuntu; sin embargo, pax ya no forma parte de una instalación por defecto de Red Hat después de RHEL 6 (o CentOS 6). Una vez instalado pax, amavisd lo prefiere automáticamente sobre cpio.<br /> <br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/11/2025

Vulnerabilidad en registerFont en el archivo FontMetrics.php en en Dompdf (CVE-2022-41343)
Fecha de publicación:
25/09/2022
Idioma:
Español
registerFont en el archivo FontMetrics.php en Dompdf versiones anteriores a 2.0.1, permite la inclusión remota de archivos porque un fallo de comprobación de URI no detiene el registro de la fuente, como es demostrado con una regla @font-face.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2025

Vulnerabilidad en el repositorio de GitHub vim/vim (CVE-2022-3297)
Fecha de publicación:
25/09/2022
Idioma:
Español
Un Uso de Memoria Previamente liberada en el repositorio de GitHub vim/vim versiones anteriores a 9.0.0579.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el repositorio de GitHub vim/vim (CVE-2022-3296)
Fecha de publicación:
25/09/2022
Idioma:
Español
Desbordamiento del búfer en la región Stack de la memoria en el repositorio de GitHub vim/vim versiones anteriores a 9.0.0577.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el paquete secp256k1-js para Node.js (CVE-2022-41340)
Fecha de publicación:
24/09/2022
Idioma:
Español
El paquete secp256k1-js versiones anteriores a 1.1.0 para Node.js implementa ECDSA sin la comprobación de r y s requerida, conllevando a una falsificación de firmas.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2025

Vulnerabilidad en Nepxion Discovery (CVE-2022-23463)
Fecha de publicación:
24/09/2022
Idioma:
Español
Nepxion Discovery es una solución para Spring Cloud. Discover es vulnerable a una inyección de SpEL en discovery-commons. El método eval de DiscoveryExpressionResolver evalúa la expresión con un StandardEvaluationContext, permitiendo a la expresión alcanzar e interactuar con clases Java como java.lang.Runtime, conllevando a una ejecución de código remota. No se presenta ningún parche disponible para este problema en el momento de la publicación. No se presentan mitigaciones conocidas.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/09/2022

Vulnerabilidad en Nepxion Discovery (CVE-2022-23464)
Fecha de publicación:
24/09/2022
Idioma:
Español
Nepxion Discovery es una solución para Spring Cloud. Discovery es vulnerable a un potencial ataque de tipo Server-Side Request Forgery (SSRF). RouterResourceImpl usa getForEntity de RestTemplate para recuperar el contenido de una URL que contiene entradas controladas por el usuario, resultando potencialmente en una Divulgación de Información. En el momento de la publicación no se presenta ningún parche disponible para este problema. No se presentan mitigaciones conocidas.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
28/09/2022

Vulnerabilidad en Jodit Editor (CVE-2022-23461)
Fecha de publicación:
24/09/2022
Idioma:
Español
Jodit Editor es un editor WYSIWYG escrito en TypeScript puro sin el uso de bibliotecas adicionales. Jodit Editor es vulnerable a ataques de tipo XSS cuando son pegadas entradas especialmente construidas.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/09/2022

Vulnerabilidad en Besu (CVE-2022-36025)
Fecha de publicación:
24/09/2022
Idioma:
Español
Besu es un cliente Ethereum basado en Java. En las versiones más recientes que 22.1.3 y anteriores a 22.7.1, Besu está sujeto a una Conversión Incorrecta entre Tipos Numéricos. Un error en los tipos con signo y sin signo de 32 bits en el cálculo del gas disponible en las operaciones CALL (incluyendo DELEGATECALL) provoca que sea pasado gas incorrecto a los contratos llamados y que sea devuelto gas incorrecto tras la ejecución de la llamada. Cuando la cantidad de gas marca una diferencia en el éxito o el fracaso, o si el gas es un valor negativo de 64 bits, la ejecución resultará a un root state diferente a lo esperado, resultando en un fallo de consenso en redes con múltiples implementaciones de EVM. En redes con una sola implementación de EVM, esto puede ser usado para ejecutar con un gas significativamente mayor que la transacción solicitada, posiblemente excediendo las limitaciones de gas. Este problema está parcheado en versión 22.7.1. Como mitigación, volver a versión 22.1.3 o anterior evitará una ejecución incorrecta.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/09/2022

Vulnerabilidad en Frontier (CVE-2022-39242)
Fecha de publicación:
24/09/2022
Idioma:
Español
Frontier es una capa de compatibilidad con Ethereum para Substrate. En versiones anteriores al commit d3beddc6911a559a3ecc9b3f08e153dbe37a8658, el peso del peor caso siempre era contabilizado como el peso del bloque para todos los casos. En el caso de grandes reembolsos de gas de EVM, esto puede conllevar ataques de spam de bloque - el adversario puede construir bloques con transacciones que presentan gran cantidad de reembolsos o gases no usados con reversiones, y como resultado inflar los precios de gas de la cadena. El impacto de este problema es limitado en el sentido de que el ataque de spamming seguiría siendo costoso para cualquier adversario, y no presenta capacidad para alterar ningún estado de la cadena. Este problema ha sido parcheado en el commit d3beddc6911a559a3ecc9b3f08e153dbe37a8658. No se presentan mitigaciones conocidas.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/09/2022
Suscribirse a Vulnerabilidades