Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función UnsetPending en Luadec (CVE-2022-34992)
Fecha de publicación:
03/08/2022
Idioma:
Español
Se ha detectado que Luadec versión v0.9.9, contiene un desbordamiento del búfer de pila por medio de la función UnsetPending
Gravedad CVSS v3.1: ALTA
Última modificación:
09/08/2022

Vulnerabilidad en el procesamiento de las llamadas al endpoint de inicio de sesión en Sante PACS Server (CVE-2022-2272)
Fecha de publicación:
03/08/2022
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos omitir la autenticación en las instalaciones afectadas de Sante PACS Server versión 3.0.4. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta en el procesamiento de las llamadas al endpoint de inicio de sesión. Cuando es analizado el elemento nombre de usuario, el proceso no comprueba apropiadamente la cadena proporcionada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Era ZDI-CAN-17331
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2022

Vulnerabilidad en Sante DICOM Viewer Pro (CVE-2022-28668)
Fecha de publicación:
03/08/2022
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Sante DICOM Viewer Pro 11.9.2. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo específico se presenta en el análisis sintáctico de los archivos J2K. El problema es debido a la falta de comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una escritura más allá del final de una estructura de datos asignada. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-16679
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2022

Vulnerabilidad en la autorización de las peticiones HTTP en BMC Track-It! (CVE-2022-35865)
Fecha de publicación:
03/08/2022
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de BMC Track-It! versión 20.21.2.109. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta en la autorización de las peticiones HTTP. El problema resulta de la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-16709
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/08/2022

Vulnerabilidad en el endpoint GetPopupSubQueryDetails en BMC Track-It! (CVE-2022-35864)
Fecha de publicación:
03/08/2022
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos divulgar información sensible en las instalaciones afectadas de BMC Track-It! versión 20.21.02.109. Es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta en el endpoint GetPopupSubQueryDetails. El problema resulta de la falta de comprobación apropiada de una cadena suministrada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para divulgar las credenciales almacenadas, conllevando a un mayor compromiso. Era ZDI-CAN-16690
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2022

Vulnerabilidad en las métricas virtuales en Centreon (CVE-2022-34872)
Fecha de publicación:
03/08/2022
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos divulgar información sensible en las instalaciones afectadas de Centreon. Es requerida autenticación para explotar esta vulnerabilidad. El fallo específico se presenta en el procesamiento de las métricas virtuales. El problema resulta de la falta de comprobación apropiada de una cadena suministrada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para divulgar las credenciales almacenadas, conllevando a un mayor compromiso. Era ZDI-CAN-16336
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2022

Vulnerabilidad en la configuración de los recursos del poller en Centreon (CVE-2022-34871)
Fecha de publicación:
03/08/2022
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos escalar privilegios en las instalaciones afectadas de Centreon. Es requerida autenticación para explotar esta vulnerabilidad. El fallo específico se presenta en la configuración de los recursos del poller. El problema resulta de la falta de comprobación apropiada de una cadena suministrada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios al nivel de un administrador. Era ZDI-CAN-16335
Gravedad CVSS v3.1: ALTA
Última modificación:
09/08/2022

Vulnerabilidad en el dispositivo virtual e1000 en xhyve (CVE-2022-35867)
Fecha de publicación:
03/08/2022
Idioma:
Español
Esta vulnerabilidad permite a atacantes locales escalar privilegios en las instalaciones afectadas de xhyve. Un atacante debe obtener primero la capacidad de ejecutar código con altos privilegios en el sistema invitado de destino para poder explotar esta vulnerabilidad. El fallo específico se presenta en el dispositivo virtual e1000. El problema resulta de la falta de comprobación apropiada de la longitud de los datos suministrados por el usuario antes de copiarlos en un búfer en la región stack de la memoria. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto del hipervisor. Era ZDI-CAN-15056
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2022

Vulnerabilidad en la biblioteca SafeBinaryFormatter en DevExpress (CVE-2022-28684)
Fecha de publicación:
03/08/2022
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de DevExpress. Es requerida autenticación para explotar esta vulnerabilidad. El fallo específico se presenta en la biblioteca SafeBinaryFormatter. El problema es debido a que no son comprobados apropiadamente los datos suministrados por el usuario, lo que puede resultar en una deserialización de datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-16710
Gravedad CVSS v3.1: ALTA
Última modificación:
10/08/2022

Vulnerabilidad en la configuración del servidor MySQL en Vinchin Backup and Recovery (CVE-2022-35866)
Fecha de publicación:
03/08/2022
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos omitir la autenticación en las instalaciones afectadas de Vinchin Backup and Recovery versión 6.5.0.17561. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta en la configuración del servidor MySQL. El servidor usa una contraseña codificada para el usuario administrador. Un atacante puede aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Era ZDI-CAN-17139
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/01/2024

Vulnerabilidad en JetBrains Rider (CVE-2022-37396)
Fecha de publicación:
03/08/2022
Idioma:
Español
En JetBrains Rider versiones anteriores a 2022.2, el diálogo confiable y de apertura de proyectos puede ser evitada, conllevando a una ejecución de código local
Gravedad CVSS v3.1: ALTA
Última modificación:
10/08/2022

Vulnerabilidad en la función ssdpcgi_main en D-LINK DIR-818LW A1:DIR818L_FW105b01 (CVE-2022-35619)
Fecha de publicación:
03/08/2022
Idioma:
Español
Se ha detectado que el D-LINK DIR-818LW A1:DIR818L_FW105b01, contiene una vulnerabilidad de ejecución de código remota (RCE) por medio de la función ssdpcgi_main
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/08/2022
Suscribirse a Vulnerabilidades