Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un generador en OpenVPN Access Server (CVE-2022-33738)
Fecha de publicación:
06/07/2022
Idioma:
Español
OpenVPN Access Server versiones anteriores a 2.11, usa un generador aleatorio débil para crear un token de sesión de usuario para el portal web
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2022

Vulnerabilidad en una imagen PNG en escala de grises de 16 bits en grub2 (CVE-2021-3695)
Fecha de publicación:
06/07/2022
Idioma:
Español
Una imagen PNG en escala de grises de 16 bits diseñada puede conllevar a una escritura fuera de límites en el área de la pila. Un atacante puede aprovecharse de ello para causar corrupción de datos de la pila o, eventualmente, la ejecución de código arbitrario y omitir las protecciones de arranque seguro. Este problema presenta una alta complejidad para ser explotado, ya que un atacante necesita llevar a cabo algún tipo de triage sobre la disposición de la pila para conseguir resultados significativos, además los valores escritos en la memoria son repetidos tres veces seguidas dificultando la producción de cargas útiles válidas. Este fallo afecta a grub2 versiones anteriores a grub-2.12
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2023

Vulnerabilidad en el manejo de las tablas Huffman en el lector PNG en grub2 (CVE-2021-3696)
Fecha de publicación:
06/07/2022
Idioma:
Español
Puede producirse una escritura fuera de límites de la pila durante el manejo de las tablas Huffman en el lector PNG. Esto puede conllevar a una corrupción de datos en el espacio de la pila. El impacto en la confidencialidad, integridad y disponibilidad puede considerarse bajo ya que es muy complejo que un atacante controle la codificación y el posicionamiento de las entradas Huffman corruptas para conseguir resultados como la ejecución de código arbitrario y/o la omisión del arranque seguro. Este fallo afecta a grub2 versiones anteriores a grub-2.12
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2023

Vulnerabilidad en una imagen JPEG en grub2 (CVE-2021-3697)
Fecha de publicación:
06/07/2022
Idioma:
Español
Una imagen JPEG diseñada puede conllevar que el lector de JPEG desborde su puntero de datos, permitiendo que los datos controlados por el usuario sean escritos en la pila. Para que sea realizado con éxito, el atacante necesita llevar a cabo un triaje sobre la disposición de la pila y llevar a cabo una imagen con un formato y carga útil maliciosos. Esta vulnerabilidad puede conllevar a una corrupción de datos y la eventual ejecución de código o la omisión del arranque seguro. Este fallo afecta a grub2 versiones anteriores a grub-2.12
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2023

Vulnerabilidad en el instalador de OpenVPN Access Server (CVE-2022-33737)
Fecha de publicación:
06/07/2022
Idioma:
Español
El instalador de OpenVPN Access Server crea un archivo de registro legible para todo el mundo, que a partir de la versión 2.10.0 y versiones anteriores a 2.11.0, puede contener una contraseña de administrador generada aleatoriamente
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2023

Vulnerabilidad en tomcat-embed-jasper en Mini-Tmall (CVE-2022-30929)
Fecha de publicación:
06/07/2022
Idioma:
Español
Mini-Tmall versión v1.0, es vulnerable a Permisos no Seguros por medio de tomcat-embed-jasper
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2022

Vulnerabilidad en audio DSP (CVE-2022-21787)
Fecha de publicación:
06/07/2022
Idioma:
Español
En audio DSP, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada local de privilegios con los privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. ID del parche: ALPS06558844; ID de Incidencia: ALPS06558844
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en la integración de Vega Charts Kibana (CVE-2022-23713)
Fecha de publicación:
06/07/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de tipo cross-site-scripting (XSS) en la integración de Vega Charts Kibana, que podría permitir la ejecución de JavaScript arbitrario en el navegador de la víctima
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en la función : /AgilePointServer/Extension/FetchUsingEncodedData en el parámetro EncodedData en el servidor para una API particular usada en legacy Work Center module (CVE-2022-30619)
Fecha de publicación:
06/07/2022
Idioma:
Español
Consultas SQL editables detrás de la codificación Base64 que se envían desde el lado del cliente al lado del servidor para una API particular usada en legacy Work Center module. El ataque está disponible para cualquier usuario autenticado, en cualquier tipo de regla. bajo la función : /AgilePointServer/Extension/FetchUsingEncodedData en el parámetro EncodedData
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2022

Vulnerabilidad en algunas de las funcionalidades de la aplicación web por "Login menu - demo site" (CVE-2022-23173)
Fecha de publicación:
06/07/2022
Idioma:
Español
Esta vulnerabilidad afecta a usuarios que incluso no pueden acceder por medio de la interfaz web. En primer lugar, el atacante necesita acceder a "Login menu - demo site", entonces puede visualizar en este menú toda la funcionalidad de la aplicación. Si el atacante intenta hacer clic en uno de los enlaces, obtendrá una respuesta de que no está autorizado porque necesita iniciar sesión con credenciales. después de que él realizó el inicio de sesión en el sistema se presentan algunas funcionalidades que el usuario específico no está autorizado a llevar a cabo porque fue configurado con privilegios bajos, sin embargo, todo lo que el atacante necesita hacer para lograr sus objetivos es cambiar el valor del parámetro prog step de 0 a 1 o más y entonces el atacante podría acceder a algunas de las funcionalidades de la aplicación web que no podía llevar a cabo antes de que el parámetro cambiado
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en el botón "Forgot my password" (CVE-2022-23172)
Fecha de publicación:
06/07/2022
Idioma:
Español
Un atacante puede acceder al botón "Forgot my password", tan pronto como ponga que el usuario es válido en el sistema, el sistema emitiría un mensaje de que un correo de restablecimiento de contraseña ha sido enviado al usuario. De esta manera puede verificarse qué usuarios están en el sistema y cuáles no
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022

Vulnerabilidad en WLAN driver (CVE-2022-21785)
Fecha de publicación:
06/07/2022
Idioma:
Español
En WLAN driver, Se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada local de privilegios con los privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. ID del parche: ALPS06807363; ID de Incidencia: ALPS06807363
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2022
Suscribirse a Vulnerabilidades