Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Arvados (CVE-2022-39238)
Fecha de publicación:
23/09/2022
Idioma:
Español
Arvados es una plataforma de código abierto para administrar y analizar big data biomédico. En versiones anteriores a 2.4.3, cuando eran usados Módulos de Autenticación Portátiles (PAM) para la autenticación de usuarios, si un usuario presentaba credenciales válidas pero la cuenta estaba deshabilitada o no tenía permiso para acceder al host (como una contraseña caducada), seguía siendo aceptada para acceder a Arvados. Otros métodos de autenticación (LDAP, OpenID Connect) soportados por Arvados no están afectados por este fallo. Este problema está parcheado en versión 2.4.3. La mitigación a este problema es migrar a un método de autenticación diferente soportado por Arvados, como LDAP.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2022

Vulnerabilidad en el soporte de una función groovy en Apache Pinot (CVE-2022-26112)
Fecha de publicación:
23/09/2022
Idioma:
Español
En versión 0.10.0 o en versiones anteriores de Apache Pinot, el punto final de consulta de Pinot y la capa de ingestión en tiempo real presentan una vulnerabilidad en entornos no protegidos debido al soporte de una función groovy. Para evitar esto, hemos deshabilitado el soporte de la función groovy por defecto desde la versión 0.11.0 de Pinot. Véase https://docs.pinot.apache.org/basics/releases/0.11.0
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2025

Vulnerabilidad en la comprobación del ID de la aplicación del adaptador de autenticación para _Facebook_ y _Spotify_ en Parse Server (CVE-2022-39231)
Fecha de publicación:
23/09/2022
Idioma:
Español
Parse Server es un backend de código abierto que puede desplegarse en cualquier infraestructura que pueda ejecutar Node.js. En versiones anteriores a 4.10.16, o desde la 5.0.0 a 5.2.6, la comprobación del ID de la aplicación del adaptador de autenticación para _Facebook_ y _Spotify_ puede ser omitida. Las configuraciones que permiten a usuarios autenticarse usando el adaptador de autenticación de Parse Server donde "appIds" es establecido como una cadena en lugar de una matriz de cadenas autentican peticiones de una aplicación con un ID de aplicación diferente al especificado en la configuración de "appIds". Para que esta vulnerabilidad pueda ser explotada, un atacante necesita que el proveedor de autenticación le asigne un ID de aplicación que sea un subconjunto del ID de aplicación configurado en el lado del servidor. Este problema está parcheado en versiones 4.10.16 y 5.2.7. No se presentan mitigaciones conocidas.
Gravedad CVSS v3.1: BAJA
Última modificación:
26/09/2022

Vulnerabilidad en python-jwt (CVE-2022-39227)
Fecha de publicación:
23/09/2022
Idioma:
Español
python-jwt es un módulo para generar y verificar tokens web JSON. Las versiones anteriores a 3.3.4, están sujetas a Una Omisión de la Autenticación por medio de Suplantación, resultando en una suplantación de identidad, secuestro de la sesión o omisión de autenticación. Un atacante que obtiene un JWT puede falsificar arbitrariamente su contenido sin conocer la clave secreta. Dependiendo de la aplicación, esto puede permitir al atacante, por ejemplo, falsificar la identidad de otros usuarios, secuestrar sus sesiones o omitir la autenticación. Los usuarios deben actualizar a versión 3.3.4. No se presentan mitigaciones conocidas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/07/2024

Vulnerabilidad en el ID del objeto de sesión en Parse Server (CVE-2022-39225)
Fecha de publicación:
23/09/2022
Idioma:
Español
Parse Server es un backend de código abierto que puede desplegarse en cualquier infraestructura que pueda ejecutar Node.js. En versiones anteriores a 4.10.15, o 5.0.0 y superiores, anteriores a 5.2.6, un usuario puede escribir en el objeto de sesión de otro usuario si es conocido el ID del objeto de sesión. Por ejemplo, un atacante puede asignar el objeto de sesión a su propio usuario al escribir en el campo "user" y luego leer cualquier campo personalizado de ese objeto de sesión. Tenga en cuenta que asignar una sesión a otro usuario no suele cambiar los privilegios de ninguno de los dos usuarios, y un usuario no puede asignar su propia sesión a otro usuario. Este problema está parcheado en versiones 4.10.15 y superiores, y 5.2.6 y superiores. Para mitigar este problema en las versiones no parcheadas, añada un desencadenador "beforeSave" a la clase "_Session" y evite la escritura si el usuario solicitante es diferente del usuario en el objeto de sesión.
Gravedad CVSS v3.1: BAJA
Última modificación:
28/09/2022

Vulnerabilidad en fhir-works-on-aws-authz-smart (CVE-2022-39230)
Fecha de publicación:
23/09/2022
Idioma:
Español
fhir-works-on-aws-authz-smart es una implementación de la interfaz de autorización de la interfaz FHIR Works. Las versiones 3.1.1 y 3.1.2, están sujetas a una Exposición de Información Confidencial a un Actor No Autorizado. Este problema permite que un cliente de la API recupere más información de la que permite el ámbito de OAuth del cliente cuando realiza peticiones de tipo "search-type". Este problema no permitiría a un cliente recuperar información sobre individuos distintos de aquellos a los que el cliente ya estaba autorizado a acceder. Los usuarios de fhir-works-on-aws-authz-smart versiones 3.1.1 o 3.1.2, deben actualizar a versión 3.1.3 o superior inmediatamente. Las versiones 3.1.0 y anteriores no están afectadas. No se presenta ninguna mitigación para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/09/2022

Vulnerabilidad en la función clone en hoek (CVE-2020-36604)
Fecha de publicación:
23/09/2022
Idioma:
Español
hoek versiones anteriores a 8.5.1 y 9.x anteriores a 9.0.3, permite un envenenamiento de prototipos en la función clone.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/05/2025

Vulnerabilidad en Kitty (CVE-2022-41322)
Fecha de publicación:
23/09/2022
Idioma:
Español
En Kitty versiones anteriores a 0.26.2, una comprobación insuficiente en la secuencia de escape de la notificación de escritorio puede conllevar a una ejecución de código arbitrario. El usuario debe mostrar contenido controlado por el atacante en el terminal y luego hacer clic en una ventana emergente de notificación.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2025

Vulnerabilidad en la página de inicio de sesión de la aplicación Veritas Desktop Laptop Option (DLO) (CVE-2022-41319)
Fecha de publicación:
23/09/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) Reflejado afecta a la página de inicio de sesión de la aplicación Veritas Desktop Laptop Option (DLO) (también conocida como el URI DLOServer/restore/login.jsp). Esto afecta a las versiones anteriores a 9.8 (por ejemplo, de la 9.1 a la 9.7).
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2025

Vulnerabilidad en la configuración de la copia de seguridad en Veritas System Recovery (VSR) (CVE-2022-41320)
Fecha de publicación:
23/09/2022
Idioma:
Español
Veritas System Recovery (VSR) versiones 18 y 21, almacenan una contraseña de destino de red en el registro de Windows durante la configuración de la copia de seguridad. Esta vulnerabilidad podría permitir a un usuario de Windows (con privilegios suficientes) acceder a un sistema de archivos de red al que no estaba autorizado a acceder.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2025

Vulnerabilidad en un comando "XAUTOCLAIM" en Redis (CVE-2022-35951)
Fecha de publicación:
23/09/2022
Idioma:
Español
Redis es una base de datos en memoria que persiste en el disco. Las versiones 7.0.0 y anteriores a 7.0.5, son vulnerables a un desbordamiento de enteros. La ejecución de un comando "XAUTOCLAIM" en una clave de flujo en un estado específico, con un argumento "COUNT" especialmente diseñado puede causar un desbordamiento de enteros, un desbordamiento de pila posterior, y potencialmente conllevar a una ejecución de código remoto. Esto ha sido parcheado en Redis versión 7.0.5. No se presentan mitigaciones conocidas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en uhttpd en el router inalámbrico N300 de Netgear wnr2000v4 (CVE-2022-37232)
Fecha de publicación:
23/09/2022
Idioma:
Español
El router inalámbrico N300 de Netgear wnr2000v4 versión V1.0.0.70, es vulnerable al desbordamiento del búfer por medio de uhttpd. Se presenta una vulnerabilidad de desbordamiento de pila causada por strcpy.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/09/2022
Suscribirse a Vulnerabilidades