Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el instalador de OpenVPN Access Server (CVE-2022-33737)
Fecha de publicación:
06/07/2022
Idioma:
Español
El instalador de OpenVPN Access Server crea un archivo de registro legible para todo el mundo, que a partir de la versión 2.10.0 y versiones anteriores a 2.11.0, puede contener una contraseña de administrador generada aleatoriamente
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2023

Vulnerabilidad en tomcat-embed-jasper en Mini-Tmall (CVE-2022-30929)
Fecha de publicación:
06/07/2022
Idioma:
Español
Mini-Tmall versión v1.0, es vulnerable a Permisos no Seguros por medio de tomcat-embed-jasper
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2022

Vulnerabilidad en audio DSP (CVE-2022-21787)
Fecha de publicación:
06/07/2022
Idioma:
Español
En audio DSP, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada local de privilegios con los privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. ID del parche: ALPS06558844; ID de Incidencia: ALPS06558844
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en la integración de Vega Charts Kibana (CVE-2022-23713)
Fecha de publicación:
06/07/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de tipo cross-site-scripting (XSS) en la integración de Vega Charts Kibana, que podría permitir la ejecución de JavaScript arbitrario en el navegador de la víctima
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en la función : /AgilePointServer/Extension/FetchUsingEncodedData en el parámetro EncodedData en el servidor para una API particular usada en legacy Work Center module (CVE-2022-30619)
Fecha de publicación:
06/07/2022
Idioma:
Español
Consultas SQL editables detrás de la codificación Base64 que se envían desde el lado del cliente al lado del servidor para una API particular usada en legacy Work Center module. El ataque está disponible para cualquier usuario autenticado, en cualquier tipo de regla. bajo la función : /AgilePointServer/Extension/FetchUsingEncodedData en el parámetro EncodedData
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2022

Vulnerabilidad en algunas de las funcionalidades de la aplicación web por "Login menu - demo site" (CVE-2022-23173)
Fecha de publicación:
06/07/2022
Idioma:
Español
Esta vulnerabilidad afecta a usuarios que incluso no pueden acceder por medio de la interfaz web. En primer lugar, el atacante necesita acceder a "Login menu - demo site", entonces puede visualizar en este menú toda la funcionalidad de la aplicación. Si el atacante intenta hacer clic en uno de los enlaces, obtendrá una respuesta de que no está autorizado porque necesita iniciar sesión con credenciales. después de que él realizó el inicio de sesión en el sistema se presentan algunas funcionalidades que el usuario específico no está autorizado a llevar a cabo porque fue configurado con privilegios bajos, sin embargo, todo lo que el atacante necesita hacer para lograr sus objetivos es cambiar el valor del parámetro prog step de 0 a 1 o más y entonces el atacante podría acceder a algunas de las funcionalidades de la aplicación web que no podía llevar a cabo antes de que el parámetro cambiado
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en el botón "Forgot my password" (CVE-2022-23172)
Fecha de publicación:
06/07/2022
Idioma:
Español
Un atacante puede acceder al botón "Forgot my password", tan pronto como ponga que el usuario es válido en el sistema, el sistema emitiría un mensaje de que un correo de restablecimiento de contraseña ha sido enviado al usuario. De esta manera puede verificarse qué usuarios están en el sistema y cuáles no
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en WLAN driver (CVE-2022-21785)
Fecha de publicación:
06/07/2022
Idioma:
Español
En WLAN driver, Se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada local de privilegios con los privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. ID del parche: ALPS06807363; ID de Incidencia: ALPS06807363
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en audio DSP (CVE-2022-21786)
Fecha de publicación:
06/07/2022
Idioma:
Español
En audio DSP, Se presenta una posible corrupción de memoria debido a una fundición inapropiada. Esto podría conllevar a una escalada local de privilegios con los privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. ID del parche: ALPS06558822; ID de incidencia: ALPS06558822
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en WLAN driver (CVE-2022-21783)
Fecha de publicación:
06/07/2022
Idioma:
Español
En WLAN driver, es posible sea producida una escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada local de privilegios con los privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. ID de parche: ALPS06704526; ID de incidencia: ALPS06704482
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/07/2022

Vulnerabilidad en WLAN driver (CVE-2022-21784)
Fecha de publicación:
06/07/2022
Idioma:
Español
En WLAN driver, es posible sea producida una escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada local de privilegios con los privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. ID de parche: ALPS06704526; ID de incidencia: ALPS06704462
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en las funcinalidades de ransomware canaries de Elastic Endpoint Security para Windows (CVE-2022-23714)
Fecha de publicación:
06/07/2022
Idioma:
Español
Se ha detectado un problema de escalada de privilegios locales (LPE) en las funcionalidades de ransomware canaries de Elastic Endpoint Security para Windows, que podría permitir a usuarios no privilegiados elevar sus privilegios a los de la cuenta LocalSystem
Gravedad CVSS v3.1: ALTA
Última modificación:
03/07/2023
Suscribirse a Vulnerabilidades