Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en GitHub (CVE-2022-4067)
Fecha de publicación:
20/11/2022
Idioma:
Español
Cross-Site Scripting (XSS) - Stored en librenms/librenms del repositorio de GitHub antes de 22.10.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2022

Vulnerabilidad en GitHub (CVE-2022-3516)
Fecha de publicación:
20/11/2022
Idioma:
Español
Cross-Site Scripting (XSS) - Stored en el repositorio de GitHub librenms/librenms anterior a 22.10.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2022

Vulnerabilidad en davidmoreno Onion (CVE-2022-4066)
Fecha de publicación:
19/11/2022
Idioma:
Español
Se encontró una vulnerabilidad en davidmoreno onion. Ha sido calificado como problemático. La función onion_response_flush del archivo src/onion/response.c del componente Log Handler es afectada por esta vulnerabilidad. La manipulación conduce a la asignación de recursos. El nombre del parche es de8ea938342b36c28024fd8393ebc27b8442a161. Se recomienda aplicar el parche para solucionar este problema. El identificador de esta vulnerabilidad es VDB-214028.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en cbeust testng (CVE-2022-4065)
Fecha de publicación:
19/11/2022
Idioma:
Español
Se encontró una vulnerabilidad en cbeust testng 7.5.0/7.6.0/7.6.1/7.7.0. Ha sido declarado crítico. La función testngXmlExistsInJar del archivo testng-core/src/main/java/org/testng/JarFileUtils.java del componente XML File Parser es afectada por esta vulnerabilidad. La manipulación conduce al Path Traversal. El ataque se puede lanzar de forma remota. La actualización a las versiones 7.5.1 y 7.7.1 puede solucionar este problema. El nombre del parche es 9150736cd2c123a6a3b60e6193630859f9f0422b. Se recomienda actualizar el componente afectado. El identificador asociado de esta vulnerabilidad es VDB-214027.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/05/2024

Vulnerabilidad en Dalli (CVE-2022-4064)
Fecha de publicación:
19/11/2022
Idioma:
Español
Se encontró una vulnerabilidad en Dalli. Ha sido clasificado como problemático. La función self.meta_set del archivo lib/dalli/protocol/meta/request_formatter.rb del componente Meta Protocol Handler es afectada por la vulnerabilidad. La manipulación conduce a la inyección. El exploit ha sido divulgado al público y puede utilizarse. El nombre del parche es 48d594dae55934476fec61789e7a7c3700e0f50d. Se recomienda aplicar un parche para solucionar este problema. VDB-214026 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en Kubernetes (CVE-2022-41939)
Fecha de publicación:
19/11/2022
Idioma:
Español
knative.dev/func es una librería cliente y CLI que permite el desarrollo y la implementación de funciones de Kubernetes. Los desarrolladores que utilizan un paquete de compilación de terceros malicioso o comprometido podrían exponer sus credenciales de registro o su conector acoplable local a un contenedor de "ciclo de vida" malicioso. Este problema se solucionó en PR #1442 y es parte de la versión 1.8.1. Este problema solo afecta a los usuarios que utilizan paquetes de funciones de terceros; fijar la imagen del generador a un hash de contenido específico con una imagen de "lifecycle" válida también mitigará el ataque.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/03/2023

Vulnerabilidad en Flarum (CVE-2022-41938)
Fecha de publicación:
19/11/2022
Idioma:
Español
Flarum es una plataforma de debate de código abierto. El sistema de títulos de páginas de Flarum permitía que los títulos de las páginas se convirtieran en nodos HTML DOM cuando se representaban las páginas. El cambio se realizó después de la "v1.5" y no se notó. Esto permitió a un atacante inyectar etiquetas HTML maliciosas utilizando una entrada de título de discusión, ya sea creando una nueva discusión o cambiando el nombre de una. El ataque XSS ocurre después de que un visitante abre la página de discusión correspondiente. Todas las comunidades que ejecutan Flarum desde `v1.5.0` hasta `v1.6.1` se ven afectadas. La vulnerabilidad ha sido reparada y publicada como flarum/core `v1.6.2`. Todas las comunidades que ejecutan Flarum desde `v1.5.0` hasta `v1.6.1` deben actualizar lo antes posible a v1.6.2. No se conocen workarounds para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/11/2022

Vulnerabilidad en Thunderbird (CVE-2022-4055)
Fecha de publicación:
19/11/2022
Idioma:
Español
Cuando xdg-mail está configurado para usar Thunderbird para URL de correo, el análisis incorrecto de la URL puede provocar que se pasen encabezados adicionales a Thunderbird que no deberían incluirse según RFC 2368. Un atacante puede usar este método para crear una URL de correo que parezca segura a los usuarios, pero en realidad adjuntará archivos cuando se haga clic en ellos.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2025

Vulnerabilidad en Better Messages 1.9.10.68 en WordPress (CVE-2022-41609)
Fecha de publicación:
19/11/2022
Idioma:
Español
Vulnerabilidad de Server-Side Request Forgery (SSRF) autenticada (con privilegios de suscriptor o superior) en el complemento Better Messages 1.9.10.68 en WordPress.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2022

Vulnerabilidad en iQ Block Country en WordPress (CVE-2022-41155)
Fecha de publicación:
19/11/2022
Idioma:
Español
Vulnerabilidad de bloqueo del BYPASS en el complemento iQ Block Country en versiones <= 1.2.18 en WordPress.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/02/2025

Vulnerabilidad en NVIDIA CUDA Toolkit SDK (CVE-2022-34667)
Fecha de publicación:
19/11/2022
Idioma:
Español
NVIDIA CUDA Toolkit SDK contiene una vulnerabilidad de desbordamiento del búfer basada en pila en cuobjdump, donde un atacante remoto sin privilegios podría aprovechar esta condición de desbordamiento del búfer persuadiendo a un usuario local para que descargue un archivo corrupto especialmente manipulado y ejecute cuobjdump localmente, lo que puede provocar un denegación limitada de servicio y cierta pérdida de integridad de datos para el usuario local.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/11/2022

Vulnerabilidad en NVIDIA GPU Display Driver (CVE-2022-31617)
Fecha de publicación:
19/11/2022
Idioma:
Español
NVIDIA GPU Display Driver para Windows contiene una vulnerabilidad en la capa del modo kernel (nvlddmkm.sys), donde un usuario local con capacidades básicas puede provocar una lectura fuera de los límites, lo que puede provocar la ejecución de código, Denegación de Servicio (DoS) y escalada de privilegios, divulgación de información o manipulación de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/11/2022
Suscribirse a Vulnerabilidades