Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Galaxy (CVE-2022-23470)
Fecha de publicación:
06/12/2022
Idioma:
Español
Galaxy es una plataforma de código abierto para análisis de datos. Existe una lectura de archivo arbitraria en Galaxy 22.01 y Galaxy 22.05 debido al cambio a Gunicorn, que se puede usar para leer cualquier archivo accesible para el usuario del sistema operativo bajo el cual se ejecuta Galaxy. Esta vulnerabilidad afecta a Galaxy 22.01 y superiores, después del cambio a gunicorn, que sirve contenidos estáticos directamente. Además, la vulnerabilidad se mitiga cuando se utiliza Nginx o Apache para servir contenidos /static/*, en lugar del middleware interno de Galaxy. Este problema se solucionó en el commit `e5e6bda4f` y se incluirá en versiones futuras. Se recomienda a los usuarios que parcheen manualmente sus instalaciones. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Passeo (CVE-2022-23472)
Fecha de publicación:
06/12/2022
Idioma:
Español
Passeo es un generador de contraseñas de Python de código abierto. Las versiones anteriores a la 1.0.5 dependen de la librería `random` de Python para la selección de valores aleatorios. La librería "aleatoria" de Python advierte que no debe utilizarse por motivos de seguridad debido a que depende de un generador de números aleatorios no criptográficamente seguro. Como resultado, un atacante motivado puede adivinar las contraseñas generadas. Este problema se ha solucionado en la versión 1.0.5. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/12/2022

Vulnerabilidad en Teler (CVE-2022-23466)
Fecha de publicación:
06/12/2022
Idioma:
Español
teler es un panel de alerta de amenazas y detección de intrusiones en tiempo real. Teler anterior a la versión 2.0.0-rc.4 es vulnerable a Cross-Site Scripting (XSS) basadas en DOM en el panel de Teler. Cuando Teler solicita mensajes del flujo de eventos en el endpoint `/events`, los datos de registro que se muestran en el panel no se sanitizan. Esto solo afecta a los usuarios autenticados y solo puede explotarse en función de las amenazas detectadas si el registro contiene un payload de scripts DOM. Esta vulnerabilidad se ha solucionado en la versión `v2.0.0-rc.4`. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/12/2022

Vulnerabilidad en Kwoksys Kwok Information Server (CVE-2022-45326)
Fecha de publicación:
06/12/2022
Idioma:
Español
Una vulnerabilidad de inyección de entidad externa XML (XXE) en Kwoksys Kwok Information Server anterior a v2.9.5.SP31 permite a usuarios remotos autenticados realizar ataques de server-side request forgery (SSRF).
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2025

Vulnerabilidad en Fortinet FortiADC (CVE-2022-33875)
Fecha de publicación:
06/12/2022
Idioma:
Español
Una neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de Comando SQL ("Inyección SQL") en Fortinet FortiADC versión 7.1.0, versión 7.0.0 a 7.0.2 y versión 6.2.4 y anteriores permite a un atacante autenticado ejecutar código no autorizado o comandos a través de solicitudes HTTP específicamente manipuladas.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en FortiSOAR (CVE-2022-38379)
Fecha de publicación:
06/12/2022
Idioma:
Español
La neutralización incorrecta de la entrada durante la generación de la página web [CWE-79] en FortiSOAR 7.0.0 hasta 7.0.3 y 7.2.0 puede permitir que un atacante autenticado inyecte etiquetas HTML a través de campos de entrada de varios componentes dentro de FortiSOAR.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Fortinet FortiOS (CVE-2022-40680)
Fecha de publicación:
06/12/2022
Idioma:
Español
Una neutralización inadecuada de la entrada durante la generación de la página web ("cross-site scripting") en Fortinet FortiOS 6.0.7 - 6.0.15, 6.2.2 - 6.2.12, 6.4.0 - 6.4.9 y 7.0.0 - 7.0. 3 permite a un atacante privilegiado ejecutar código o comandos no autorizados mediante el almacenamiento de payloads maliciosos en mensajes de reemplazo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Fortinet FortiADC (CVE-2022-33876)
Fecha de publicación:
06/12/2022
Idioma:
Español
Múltiples instancias de vulnerabilidad de validación de entrada incorrecta en Fortinet FortiADC versión 7.1.0, versión 7.0.0 a 7.0.2 y versión 6.2.4 y anteriores permiten a un atacante autenticado recuperar archivos con una extensión específica del sistema Linux subyacente a través de solicitudes HTTP manipuladas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en FortiSandbox y FortiDeceptor (CVE-2022-30305)
Fecha de publicación:
06/12/2022
Idioma:
Español
Una vulnerabilidad de registro insuficiente [CWE-778] en las versiones 4.0.0 a 4.0.2, 3.2.0 a 3.2.3 y 3.1.0 a 3.1.5 de FortiSandbox y las versiones 4.2.0, 4.1.0 a 4.1.1 de FortiDeceptor. 4.0.0 a 4.0.2, 3.3.0 a 3.3.3, 3.2.0 a 3.2.2, 3.1.0 a 3.1.1 y 3.0.0 a 3.0.2 pueden permitir que un atacante remoto ingrese repetidamente credenciales incorrectas sin generar una entrada de registro y sin límite en el número de intentos fallidos de autenticación.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en SSH de FortiOS (CVE-2022-35843)
Fecha de publicación:
06/12/2022
Idioma:
Español
Una omisión de autenticación por vulnerabilidad de datos supuestamente inmutables [CWE-302] en el componente de inicio de sesión SSH de FortiOS 7.2.0, 7.0.0 a 7.0.7, 6.4.0 a 6.4.9, 6.2 todas las versiones, 6.0 todas las versiones y FortiProxy SSH El componente de inicio de sesión 7.0.0 a 7.0.5, 2.0.0 a 2.0.10, 1.2.0 todas las versiones puede permitir que un atacante remoto y no autenticado inicie sesión en el dispositivo mediante el envío de una respuesta Access-Challenge especialmente manipulada desde el servidor Radius.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en VideoLAN VLC Media Player (CVE-2022-41325)
Fecha de publicación:
06/12/2022
Idioma:
Español
Un desbordamiento de enteros en el módulo VNC en VideoLAN VLC Media Player hasta la versión 3.0.17.4 permite a los atacantes, al engañar a un usuario para que abra una lista de reproducción manipulada se conecte a un servidor VNC fraudulento, bloquear VLC o ejecutar código bajo algunas condiciones.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en RackN Digital Rebar (CVE-2022-46382)
Fecha de publicación:
06/12/2022
Idioma:
Español
RackN Digital Rebar hasta 4.6.14, 4.7 hasta 4.7.22, 4.8 hasta 4.8.5, 4.9 hasta 4.9.12 y 4.10 hasta 4.10.8 tiene permisos inseguros. Después de iniciar sesión en Digital Rebar, los usuarios reciben tokens de autenticación vinculados a su cuenta para realizar acciones dentro de Digital Rebar. Durante el proceso de validación de estos tokens, Digital Rebar no verificó si la cuenta de usuario aún existe. Los usuarios de Digital Rebar eliminados aún podrían usar sus tokens para realizar acciones dentro de Digital Rebar.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025
Suscribirse a Vulnerabilidades