Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la configuración del Registro de Windows para los campos de fecha en el servidor en Command Centre Server (CVE-2022-26348)
Fecha de publicación:
06/07/2022
Idioma:
Español
Command Centre Server es vulnerable a una inyección SQL por medio de la configuración del Registro de Windows para los campos de fecha en el servidor. La configuración del Registro de Windows permite a un atacante usando el Kiosco de Administración de Visitantes, una aplicación diseñada para uso público, invocar una consulta SQL arbitraria que ha sido precargada en el registro del Servidor de Windows para obtener información confidencial. Este problema afecta a: Gallagher Command Centre versiones 8.60 anteriores a 8.60.1652; versiones 8.50 anteriores a 8.50.2245; versiones 8.40 anteriores a 8.40.2216; versiones 8.30 anteriores a 8.30.1470; versiones 8.20 y anteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en de paquetes ARP conflictivos con una dirección IP duplicada en el controlador Gallagher 6000 (CVE-2022-26078)
Fecha de publicación:
06/07/2022
Idioma:
Español
El controlador Gallagher 6000 es vulnerable a un ataque de Denegación de Servicio por medio de paquetes ARP conflictivos con una dirección IP duplicada. Este problema afecta: Gallagher Controller 6000 versiones vCR8.60 anteriores a 220303a; versiones vCR8.50 anteriores a 220303a; versiones vCR8.40 anteriores a 220303a; versiones vCR8.30 anteriores a 220303a
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2022

Vulnerabilidad en un generador en OpenVPN Access Server (CVE-2022-33738)
Fecha de publicación:
06/07/2022
Idioma:
Español
OpenVPN Access Server versiones anteriores a 2.11, usa un generador aleatorio débil para crear un token de sesión de usuario para el portal web
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2022

Vulnerabilidad en una imagen PNG en escala de grises de 16 bits en grub2 (CVE-2021-3695)
Fecha de publicación:
06/07/2022
Idioma:
Español
Una imagen PNG en escala de grises de 16 bits diseñada puede conllevar a una escritura fuera de límites en el área de la pila. Un atacante puede aprovecharse de ello para causar corrupción de datos de la pila o, eventualmente, la ejecución de código arbitrario y omitir las protecciones de arranque seguro. Este problema presenta una alta complejidad para ser explotado, ya que un atacante necesita llevar a cabo algún tipo de triage sobre la disposición de la pila para conseguir resultados significativos, además los valores escritos en la memoria son repetidos tres veces seguidas dificultando la producción de cargas útiles válidas. Este fallo afecta a grub2 versiones anteriores a grub-2.12
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2023

Vulnerabilidad en el manejo de las tablas Huffman en el lector PNG en grub2 (CVE-2021-3696)
Fecha de publicación:
06/07/2022
Idioma:
Español
Puede producirse una escritura fuera de límites de la pila durante el manejo de las tablas Huffman en el lector PNG. Esto puede conllevar a una corrupción de datos en el espacio de la pila. El impacto en la confidencialidad, integridad y disponibilidad puede considerarse bajo ya que es muy complejo que un atacante controle la codificación y el posicionamiento de las entradas Huffman corruptas para conseguir resultados como la ejecución de código arbitrario y/o la omisión del arranque seguro. Este fallo afecta a grub2 versiones anteriores a grub-2.12
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2023

Vulnerabilidad en una imagen JPEG en grub2 (CVE-2021-3697)
Fecha de publicación:
06/07/2022
Idioma:
Español
Una imagen JPEG diseñada puede conllevar que el lector de JPEG desborde su puntero de datos, permitiendo que los datos controlados por el usuario sean escritos en la pila. Para que sea realizado con éxito, el atacante necesita llevar a cabo un triaje sobre la disposición de la pila y llevar a cabo una imagen con un formato y carga útil maliciosos. Esta vulnerabilidad puede conllevar a una corrupción de datos y la eventual ejecución de código o la omisión del arranque seguro. Este fallo afecta a grub2 versiones anteriores a grub-2.12
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2023

Vulnerabilidad en el instalador de OpenVPN Access Server (CVE-2022-33737)
Fecha de publicación:
06/07/2022
Idioma:
Español
El instalador de OpenVPN Access Server crea un archivo de registro legible para todo el mundo, que a partir de la versión 2.10.0 y versiones anteriores a 2.11.0, puede contener una contraseña de administrador generada aleatoriamente
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2023

Vulnerabilidad en tomcat-embed-jasper en Mini-Tmall (CVE-2022-30929)
Fecha de publicación:
06/07/2022
Idioma:
Español
Mini-Tmall versión v1.0, es vulnerable a Permisos no Seguros por medio de tomcat-embed-jasper
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2022

Vulnerabilidad en audio DSP (CVE-2022-21787)
Fecha de publicación:
06/07/2022
Idioma:
Español
En audio DSP, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada local de privilegios con los privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. ID del parche: ALPS06558844; ID de Incidencia: ALPS06558844
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en la integración de Vega Charts Kibana (CVE-2022-23713)
Fecha de publicación:
06/07/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de tipo cross-site-scripting (XSS) en la integración de Vega Charts Kibana, que podría permitir la ejecución de JavaScript arbitrario en el navegador de la víctima
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en la función : /AgilePointServer/Extension/FetchUsingEncodedData en el parámetro EncodedData en el servidor para una API particular usada en legacy Work Center module (CVE-2022-30619)
Fecha de publicación:
06/07/2022
Idioma:
Español
Consultas SQL editables detrás de la codificación Base64 que se envían desde el lado del cliente al lado del servidor para una API particular usada en legacy Work Center module. El ataque está disponible para cualquier usuario autenticado, en cualquier tipo de regla. bajo la función : /AgilePointServer/Extension/FetchUsingEncodedData en el parámetro EncodedData
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2022

Vulnerabilidad en algunas de las funcionalidades de la aplicación web por "Login menu - demo site" (CVE-2022-23173)
Fecha de publicación:
06/07/2022
Idioma:
Español
Esta vulnerabilidad afecta a usuarios que incluso no pueden acceder por medio de la interfaz web. En primer lugar, el atacante necesita acceder a "Login menu - demo site", entonces puede visualizar en este menú toda la funcionalidad de la aplicación. Si el atacante intenta hacer clic en uno de los enlaces, obtendrá una respuesta de que no está autorizado porque necesita iniciar sesión con credenciales. después de que él realizó el inicio de sesión en el sistema se presentan algunas funcionalidades que el usuario específico no está autorizado a llevar a cabo porque fue configurado con privilegios bajos, sin embargo, todo lo que el atacante necesita hacer para lograr sus objetivos es cambiar el valor del parámetro prog step de 0 a 1 o más y entonces el atacante podría acceder a algunas de las funcionalidades de la aplicación web que no podía llevar a cabo antes de que el parámetro cambiado
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022
Suscribirse a Vulnerabilidades