Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en convert2rhel (CVE-2022-0852)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se presentan un fallo en convert2rhel. convert2rhel pasa la contraseña de la cuenta de Red Hat a subscription-manager por medio de la línea de comandos, lo que podría permitir a usuarios no autorizados localmente en la máquina visualizar la contraseña por medio de la línea de comandos del proceso, por ejemplo, htop o ps. El impacto específico varía según los privilegios de la cuenta de Red Hat en cuestión, pero podría afectar la integridad, disponibilidad y/o confidencialidad de los datos de otros sistemas que son administrados por esa cuenta. Esto ocurre independientemente de cómo se suministre la contraseña a convert2rhel
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2023

Vulnerabilidad en fapolicyd (CVE-2022-1117)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en fapolicyd. La vulnerabilidad se produce debido a una suposición sobre cómo glibc nombra al enlazador en tiempo de ejecución, una expresión regular en tiempo de compilación puede no detectar correctamente el enlazador en tiempo de ejecución. La consecuencia es que la detección de patrones para las aplicaciones lanzadas por el enlazador en tiempo de ejecución puede fallar al detectar el patrón y permitir la ejecución
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2023

Vulnerabilidad en el archivo fs/ext4/namei.c:dx_insert_block() en el subcomponente del sistema de archivos del kernel de Linux (CVE-2022-1184)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha detectado un fallo de uso de memoria previamente liberada en el archivo fs/ext4/namei.c:dx_insert_block() en el subcomponente del sistema de archivos del kernel de Linux. Este fallo permite a un atacante local con privilegios de usuario causar una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2023

Vulnerabilidad en un archivo tiff en extractImageSection en el archivo tools/tiffcrop.c:6905 en LibTIFF (CVE-2022-2953)
Fecha de publicación:
29/08/2022
Idioma:
Español
LibTIFF versión 4.4.0, presenta una lectura fuera de límites en extractImageSection en el archivo tools/tiffcrop.c:6905, lo que permite a atacantes causar una denegación de servicio por medio de un archivo tiff diseñado. Para usuarios que compilan libtiff desde las fuentes, la corrección está disponible con el commit 48d6ece8
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2023

CVE-2022-1024
Fecha de publicación:
29/08/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el archivo net/netfilter/nf_tables_core.c:nft_do_chain en el kernel de Linux (CVE-2022-1016)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo en el kernel de Linux en el archivo net/netfilter/nf_tables_core.c:nft_do_chain, que puede causar un uso de memoria previamente liberada. Este problema necesita manejar "return" con las precondiciones apropiadas, ya que puede conllevar a un problema de filtrado de información del kernel causado por un atacante local no privilegiado
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2023

Vulnerabilidad en la funcionalidad PLP Rose del kernel de Linux (CVE-2022-2961)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo de uso de memoria previamente liberada en la funcionalidad PLP Rose del kernel de Linux en la forma en que un usuario desencadena una condición de carrera al llamar a bind mientras es desencadenada simultáneamente la función rose_bind(). Este fallo permite a un usuario local bloquearse o escalar potencialmente sus privilegios en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2023

Vulnerabilidad en la funcionalidad del protocolo AX.25 de radioaficionados del kernel de Linux (CVE-2022-1204)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo de uso de memoria previamente liberada en la funcionalidad del protocolo AX.25 de radioaficionados del kernel de Linux en la forma en que un usuario es conectado con el protocolo. Este fallo permite a un usuario local bloquear el sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/09/2022

Vulnerabilidad en el archivo quantum-private.h en la función PushShortPixel() de ImageMagick (CVE-2022-1115)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo de desbordamiento del búfer de la pila en la función PushShortPixel() de ImageMagick del archivo quantum-private.h. Esta vulnerabilidad es desencadenada cuando un atacante pasa un archivo de imagen TIFF especialmente diseñado a ImageMagick para su conversión, lo que puede conllevar a una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2022

Vulnerabilidad en el archivo drivers/net/hamradio/6pack.c de linux (CVE-2022-1198)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de uso de memoria previamente liberada en el archivo drivers/net/hamradio/6pack.c de linux que permite a un atacante bloquear el kernel de linux al simular el dispositivo ax25 mediante el controlador 6pack desde el espacio de usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2022

Vulnerabilidad en el supervisor Pinniped (CVE-2022-31677)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha detectado un problema de caducidad de sesión insuficiente en el supervisor Pinniped (versiones anteriores a 0.19.0). Un usuario que es autenticado en clusters Kubernetes por medio del Supervisor Pinniped podría usar su token de acceso para continuar su sesión más allá de lo que el uso apropiado de su token de actualización podría permitir
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/09/2022

Vulnerabilidad en Zulip (CVE-2022-35962)
Fecha de publicación:
29/08/2022
Idioma:
Español
Zulip es un equipo de chat de código abierto y Zulip Mobile es una aplicación para usuarios de iOS y Android. En Zulip Mobile versiones hasta 27.189, un enlace diseñado en un mensaje enviado por un usuario autenticado podía conllevar a una revelación de credenciales si un usuario seguía el enlace. Ha sido publicado un parche en versión 27.190
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/09/2022
Suscribirse a Vulnerabilidades