Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una serie de paquetes de control segmentados y paquetes de acceso en Nordic nRF5 SDK for Mesh (CVE-2022-35623)
Fecha de publicación:
15/08/2022
Idioma:
Español
En Nordic nRF5 SDK for Mesh versión 5.0, una vulnerabilidad de desbordamiento de pila puede ser desencadenada mediante el envío de una serie de paquetes de control segmentados y paquetes de acceso con el mismo SeqAuth
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2022

Vulnerabilidad en el repositorio de GitHub openemr/openemr (CVE-2022-2824)
Fecha de publicación:
15/08/2022
Idioma:
Español
Un Control de Acceso inapropiado en el repositorio de GitHub openemr/openemr versiones anteriores a 7.0.0.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
25/02/2026

Vulnerabilidad en dproxy-nexgen (CVE-2022-33991)
Fecha de publicación:
15/08/2022
Idioma:
Español
dproxy-nexgen (también se conoce como dproxy nexgen) reenvía y almacena en caché las consultas DNS con el bit CD (también se conoce como comprobación deshabilitada) establecido en 1. Esto conlleva a una deshabilitación de la protección DNSSEC proporcionada por los resolutores ascendentes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/08/2022

Vulnerabilidad en dproxy-nexgen (CVE-2022-33989)
Fecha de publicación:
15/08/2022
Idioma:
Español
dproxy-nexgen (también se conoce como dproxy nexgen) usa un puerto de origen UDP estático (seleccionado aleatoriamente sólo en el momento del arranque) en las consultas ascendentes enviadas a resolvedores de DNS. Esto permite el envenenamiento de la caché de DNS porque no se presenta suficiente entropía para evitar los ataques de inyección de tráfico.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/08/2022

Vulnerabilidad en los caracteres especiales de los nombres de dominio en dproxy-nexgen (CVE-2022-33990)
Fecha de publicación:
15/08/2022
Idioma:
Español
Una interpretación inapropiada de los caracteres especiales de los nombres de dominio en dproxy-nexgen (también se conoce como dproxy nexgen) conlleva a un envenenamiento de la caché porque los nombres de dominio y sus direcciones IP asociadas son almacenadas en la caché en su forma interpretada inapropiadamente.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/08/2022

Vulnerabilidad en dproxy-nexgen (CVE-2022-33988)
Fecha de publicación:
15/08/2022
Idioma:
Español
dproxy-nexgen (también se conoce como dproxy nexgen) reúsa el valor del identificador de transacciones DNS (TXID) de las consultas de los clientes, lo que permite a atacantes (capaces de enviar consultas al resolvedor) conducir ataques de envenenamiento de la caché DNS porque el valor TXID es conocido por el atacante.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/08/2022

Vulnerabilidad en el archivo config.php en taocms (CVE-2022-36262)
Fecha de publicación:
15/08/2022
Idioma:
Español
Se ha detectado un problema en taocms versión 3.0.2. en la configuración del sitio web que permite inyectar código php arbitrario al modificar el archivo config.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/02/2024

Vulnerabilidad en un puerto de origen UDP fijo en las consultas ascendentes en los resolvedores de DNS en totd (CVE-2022-34294)
Fecha de publicación:
15/08/2022
Idioma:
Español
totd versión 1.5.3, usa un puerto de origen UDP fijo en las consultas ascendentes enviadas a los resolvedores de DNS. Esto permite el envenenamiento de la caché de DNS porque no se presenta suficiente entropía para prevenir ataques de inyección de tráfico.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en los caracteres especiales de los nombres de dominio en el DNRD (CVE-2022-33993)
Fecha de publicación:
15/08/2022
Idioma:
Español
Una interpretación inapropiada de los caracteres especiales de los nombres de dominio en el DNRD (también se conoce Domain Name Relay Daemon) versión 2.20.3, conlleva a un envenenamiento de caché porque los nombres de dominio y sus direcciones IP asociadas son almacenados en la caché en su forma interpretada inapropiadamente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/08/2022

Vulnerabilidad en DNRD (CVE-2022-33992)
Fecha de publicación:
15/08/2022
Idioma:
Español
DNRD (también se conoce como Domain Name Relay Daemon) versión 2.20.3, reenvía y almacena en caché las consultas DNS con el bit CD (también se conoce como checking disabled) puesto a 1. Esto conlleva a una deshabilitación de la protección DNSSEC proporcionada por los resolutores upstream.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/08/2022

Vulnerabilidad en el envío de un archivo HTML al binario de w3m en checkType en el archivo etc.c en w3 (CVE-2022-38223)
Fecha de publicación:
15/08/2022
Idioma:
Español
Se presenta una escritura fuera de límites en checkType ubicada en etc.c en w3m 0.5.3. Puede desencadenarse mediante el envío de un archivo HTML diseñado al binario de w3m. Permite a un atacante causar una denegación de servicio o posiblemente tener otro impacto no especificado.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en la clave maestra en Apache OpenOffice (CVE-2022-37401)
Fecha de publicación:
15/08/2022
Idioma:
Español
Apache OpenOffice admite el almacenamiento de contraseñas para conexiones web en la base de datos de configuración del usuario. Las contraseñas almacenadas son cifradas con una única clave maestra proporcionada por el usuario. Se presentaba un fallo en OpenOffice en el que la clave maestra estaba codificada inapropiadamente resultando en el debilitamiento de su entropía de 128 a 43 bits haciendo que las contraseñas almacenadas sean vulnerables a un ataque de fuerza bruta si un atacante presenta acceso a la configuración almacenada del usuario. Este problema afecta a: Apache OpenOffice versiones anteriores a 4.1.13. Referencia: CVE-2022-26307 - LibreOffice
Gravedad CVSS v3.1: ALTA
Última modificación:
02/08/2023
Suscribirse a Vulnerabilidades