Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Zammad (CVE-2022-40816)
Fecha de publicación:
27/09/2022
Idioma:
Español
Zammad versión 5.2.1, es vulnerable a un Control de Acceso Incorrecto. El mecanismo de manejo de activos de Zammad presenta una lógica para asegurar que los usuarios clientes no puedan visualizar la información personal de otros usuarios. Esta lógica no era efectiva cuando era usada mediante una conexión de socket web, por lo que un atacante que hubiera iniciado sesión podríaconseguir datos personales de otros usuarios consultando la API de Zammad. Este problema ha sido corregido en versión 5.2.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en Gajim (CVE-2022-39835)
Fecha de publicación:
27/09/2022
Idioma:
Español
Se ha descubierto un problema en Gajim a través de la versión 1.4.7. La vulnerabilidad permite a los atacantes, a través de estrofas XML manipuladas, corregir mensajes que no fueron enviados por ellos. El atacante necesita formar parte del chat de grupo o del chat individual. La versión corregida es la 1.5.0
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en el subsistema de sonido del kernel de Linux (CVE-2022-3303)
Fecha de publicación:
27/09/2022
Idioma:
Español
Se ha encontrado un fallo de condición de carrera en el subsistema de sonido del kernel de Linux debido a un bloqueo inapropiado. Podría conllevar a una desreferencia de puntero NULL mientras es manejado el ioctl SNDCTL_DSP_SYNC. Un usuario local privilegiado (root o miembro del grupo de audio) podría usar este fallo para bloquear el sistema, resultando en una situación de denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en la serie EC-CUBE 4 (CVE-2022-38975)
Fecha de publicación:
27/09/2022
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting basada en DOM en la serie EC-CUBE 4 (EC-CUBE versiones 4.0.0 a 4.1.2) permite a un atacante remoto inyectar un script arbitrario al hacer a un usuario administrativo del producto visitar una página especialmente diseñada
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en el endpoint ConfigurationServlet en Advantech iView (CVE-2022-3323)
Fecha de publicación:
27/09/2022
Idioma:
Español
Una vulnerabilidad de inyección SQL en Advantech iView versión 5.7.04.6469. La falla específica se presenta dentro del endpoint ConfigurationServlet, que escucha en el puerto TCP 8080 por defecto. Un atacante remoto no autenticado puede diseñar un parámetro column_value especial en la acción setConfiguration para omitir las comprobaciones de com.imc.iview.utils.CUtils.checkSQLInjection() y llevar a cabo una inyección SQL. Por ejemplo, el atacante puede explotar la vulnerabilidad para recuperar la contraseña de administrador de iView
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2025

Vulnerabilidad en un archivo ELF en readelf en ToaruOS (CVE-2022-38932)
Fecha de publicación:
27/09/2022
Idioma:
Español
readelf en ToaruOS versión 2.0.1, presenta un desbordamiento global que permite un RCE cuando es analizado un archivo ELF diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2025

Vulnerabilidad en los módulos e-mail template en Vtiger CRM (CVE-2022-38335)
Fecha de publicación:
27/09/2022
Idioma:
Español
Se ha detectado que Vtiger CRM versión v7.4.0, contiene una vulnerabilidad de tipo cross-site scripting (XSS) almacenado por medio de los módulos e-mail template
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en el repositorio de GitHub vim/vim (CVE-2022-3324)
Fecha de publicación:
27/09/2022
Idioma:
Español
Un Desbordamiento del Búfer en la Región Stack de la Memoria en el repositorio de GitHub vim/vim versiones anteriores a 9.0.0598
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en el campo title de los grupos en ISAMS (CVE-2022-37028)
Fecha de publicación:
27/09/2022
Idioma:
Español
ISAMS versión 22.2.3.2, es propenso a un ataque de tipo Cross-site Scripting (XSS) almacenado en el campo title de los grupos, permitiendo a un atacante almacenar una carga útil de JavaScript que será ejecutada cuando otro usuario use la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en JFinal CMS (CVE-2022-37209)
Fecha de publicación:
27/09/2022
Idioma:
Español
JFinal CMS versión 5.1.0, está afectado por: Inyección SQL. Estas interfaces no usan el mismo componente, ni presentan filtros, sino que cada una usa su propio método de concatenación SQL, resultando en una inyección SQL
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2025

Vulnerabilidad en Chipolo ONE Bluetooth tracker (2020) Chipolo iOS app (CVE-2022-37193)
Fecha de publicación:
27/09/2022
Idioma:
Español
Chipolo ONE Bluetooth tracker (2020) Chipolo iOS app versión 4.13.0, es vulnerable a un Control de Acceso Incorrecto. Los dispositivos Chipolo sufren ataques de evasión de revocación de acceso una vez que el sharee malicioso obtiene las credenciales de acceso
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2025

Vulnerabilidad en el plugin EC-CUBE "Product Image Bulk Upload Plugin" (CVE-2022-37346)
Fecha de publicación:
27/09/2022
Idioma:
Español
El plugin EC-CUBE "Product Image Bulk Upload Plugin" versiones 1.0.0 y 4.1.0, contiene una vulnerabilidad de verificación insuficiente cuando se descargan archivos. La explotación de esta vulnerabilidad permite a un atacante remoto no autenticado subir archivos arbitrarios que no sean de imagen. Si un usuario con privilegios administrativos de EC-CUBE donde está instalado el plugin vulnerable es conllevado a subir un archivo especialmente diseñado, un script arbitrario puede ser ejecutado en el sistema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/05/2025
Suscribirse a Vulnerabilidades