Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los puntos de contacto durante la instalación en Eclipse p2 (CVE-2021-41037)
Fecha de publicación:
08/07/2022
Idioma:
Español
En Eclipse p2, las unidades instalables son capaces de alterar la instalación de la plataforma Eclipse y la máquina local por medio de puntos de contacto durante la instalación. Esos puntos de contacto pueden, por ejemplo, alterar la línea de comandos usada para iniciar la aplicación, inyectando cosas como el agente u otras configuraciones que suelen requerir especial atención en términos de seguridad. Aunque p2 presenta estrategias incorporadas para asegurar que los artefactos estén firmados y así ayudar a establecer confianza, no se presenta ninguna estrategia de este tipo para la parte de los metadatos que configuran dichos puntos de contacto. Como resultado, es posible instalar una unidad que ejecutará código malicioso durante la instalación sin que el usuario reciba ninguna advertencia sobre que este paso de instalación es arriesgado cuando proviene de una fuente no confiable
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2024

Vulnerabilidad en la funcionalidad token exchange de keycloak (CVE-2022-1245)
Fecha de publicación:
08/07/2022
Idioma:
Español
Se ha encontrado un fallo de escalada de privilegios en la funcionalidad token exchange de keycloak. Una falta de autorización permite que una aplicación cliente que tenga un token de acceso válido pueda intercambiar tokens para cualquier cliente de destino pasando el client_id del mismo. Esto podría permitir a un cliente conseguir acceso no autorizado a servicios adicionales
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en un archivo en la función Select User en el componente People Menu de Snipe-IT (CVE-2022-32061)
Fecha de publicación:
07/07/2022
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitraria en la función Select User en el componente People Menu de Snipe-IT versión v6.0.2, permite a atacantes ejecutar código arbitrario por medio de un archivo diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2022

Vulnerabilidad en un archivo en el componente Update Branding Settings de Snipe-IT (CVE-2022-32060)
Fecha de publicación:
07/07/2022
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitraria en el componente Update Branding Settings de Snipe-IT versión v6.0.2, permite a atacantes ejecutar código arbitrario por medio de un archivo diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/11/2022

Vulnerabilidad en Cloud Mobility for Dell EMC Storage (CVE-2022-33936)
Fecha de publicación:
07/07/2022
Idioma:
Español
Cloud Mobility for Dell EMC Storage, versión 1.3.0.XXX, contiene una vulnerabilidad RCE. Un usuario no privilegiado podría explotar esta vulnerabilidad, conllevando a una obtención de un shell de root. Esto es un problema crítico, por lo que Dell recomienda a los clientes actualizar lo antes posible
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2022

Vulnerabilidad en AdminLTE (CVE-2022-31029)
Fecha de publicación:
07/07/2022
Idioma:
Español
AdminLTE es un tablero de control para las estadísticas y la configuración. En las versiones afectadas insertar código como "(script)alert("XSS")(/script)" en el campo marcado con "Domain to look for" y pulsando (kbd)enter(/kbd) (o haciendo clic en cualquiera de los botones) ejecutará el script. El usuario debe estar conectado para usar esta vulnerabilidad. Normalmente, sólo los administradores presentan acceso a pi-hole, lo que minimiza los riesgos. Es recomendado a usuarios actualizar. No se presentan mitigaciones conocidas para este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/12/2022

Vulnerabilidad en Dell PowerProtect Cyber Recovery (CVE-2022-32481)
Fecha de publicación:
07/07/2022
Idioma:
Español
Dell PowerProtect Cyber Recovery, versiones anteriores a 19.11, contienen una vulnerabilidad de escalada de privilegios en implementaciones de dispositivos virtuales. Un usuario autenticado poco privilegiado puede encadenar los comandos de Docker para escalar los privilegios a root, conllevando a una toma completa del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en SslConnection en Eclipse Jetty (CVE-2022-2191)
Fecha de publicación:
07/07/2022
Idioma:
Español
En Eclipse Jetty versiones 10.0.0 hasta 10.0.9, y 11.0.0 hasta 11.0.9, SslConnection no libera ByteBuffers del ByteBufferPool configurado en caso de rutas con código de error
Gravedad CVSS v3.1: ALTA
Última modificación:
23/09/2022

Vulnerabilidad en Eclipse Jetty (CVE-2022-2047)
Fecha de publicación:
07/07/2022
Idioma:
Español
En Eclipse Jetty versiones 9.4.0 hasta 9.4.46, y 10.0.0 hasta 10.0.9, y 11.0.0 hasta 11.0.9, el análisis sintáctico del segmento de autoridad de un URI de esquema http, la clase Jetty HttpURI detecta inapropiadamente una entrada no válida como nombre de host. Esto puede conllevar a fallos en un escenario Proxy
Gravedad CVSS v3.1: BAJA
Última modificación:
25/10/2022

Vulnerabilidad en la implementación del servidor Eclipse Jetty HTTP/2 (CVE-2022-2048)
Fecha de publicación:
07/07/2022
Idioma:
Español
En la implementación del servidor Eclipse Jetty HTTP/2, cuando es encontrada una petición HTTP/2 no válida, el manejo de errores presenta un error que puede terminar por no limpiar apropiadamente las conexiones activas y los recursos asociados. Esto puede conllevar a un escenario de denegación de servicio en el que no queden recursos suficientes para procesar las peticiones buenas
Gravedad CVSS v3.1: ALTA
Última modificación:
24/07/2023

Vulnerabilidad en el plugin Telerik Web UI en GFI Mail Archiver (CVE-2021-29281)
Fecha de publicación:
07/07/2022
Idioma:
Español
Una vulnerabilidad en la carga de archivos en GFI Mail Archiver versiones hasta 15.1 incluyéndola, por medio de una implementación no segura del plugin Telerik Web UI, que está afectado por CVE-2014-2217, y CVE-2017-11317
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2022

Vulnerabilidad en Eclipse Lyo (CVE-2021-41042)
Fecha de publicación:
07/07/2022
Idioma:
Español
En Eclipse Lyo versiones 1.0.0 a 4.1.0, un TransformerFactory es inicializado con los valores predeterminados que no restringen la carga de DTD cuando es trabajado con RDF/XML. Esto permite a un atacante causar la recuperación de un DTD externo
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades