Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Drive Composer (CVE-2022-31219)
Fecha de publicación:
15/06/2022
Idioma:
Español
Las vulnerabilidades en Drive Composer permiten a un atacante con pocos privilegios crear y escribir en un archivo en cualquier lugar del sistema de archivos como SYSTEM con contenido arbitrario, siempre y cuando el archivo no exista ya. El archivo de instalación de Drive Composer permite a un usuario con pocos privilegios ejecutar una operación de "repair" en el producto.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/09/2024

Vulnerabilidad en el plugin Nicdark's Hotel Booking en WordPress (CVE-2022-29443)
Fecha de publicación:
15/06/2022
Idioma:
Español
Múltiples vulnerabilidades de tipo Cross-Site Scripting (XSS) almacenado y autenticado (rol de colaborador o usuario superior) en el plugin Nicdark's Hotel Booking versiones 3.0 incluyéndola, en WordPress
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/06/2022

Vulnerabilidad en el campo del título del proyecto en el archivo ProjectGeneral/edit_project_settings.php en REDCap (CVE-2022-24127)
Fecha de publicación:
15/06/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas en el archivo ProjectGeneral/edit_project_settings.php en REDCap versión 12.0.11. Este problema permite a cualquier usuario con permisos de administración de proyectos inyectar código arbitrario en el campo del título del proyecto (app_title) cuando es editado un proyecto existente. La carga útil es reflejada entonces en la etiqueta de título de la página
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/06/2022

Vulnerabilidad en el campo del título de Messenger en el archivo Messenger/messenger_ajax.php en REDCap (CVE-2022-24004)
Fecha de publicación:
15/06/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el archivo Messenger/messenger_ajax.php en REDCap versión 12.0.11. Este problema permite a cualquier usuario autenticado inyectar código arbitrario en el campo del título de Messenger (también se conoce como new_title) cuando es editada una conversación existente. La carga útil es ejecutada en el navegador de cualquier participante de la conversación con la barra lateral mostrada
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/06/2022

Vulnerabilidad en Mint WorkBench (CVE-2022-26057)
Fecha de publicación:
15/06/2022
Idioma:
Español
Unas vulnerabilidades en Mint WorkBench permiten a un atacante con pocos privilegios crear y escribir en un archivo en cualquier parte del sistema de archivos como SYSTEM con contenido arbitrario siempre que el archivo no exista ya. El archivo de instalación de Mint WorkBench permite a un usuario con pocos privilegios ejecutar una operación de "reparación" en el producto
Gravedad CVSS v3.1: ALTA
Última modificación:
24/06/2022

Vulnerabilidad en el instalador de Adobe Lightroom Classic (CVE-2021-40776)
Fecha de publicación:
15/06/2022
Idioma:
Español
Adobe Lightroom Classic versiones 10.3 (y anteriores), están afectados por una vulnerabilidad de escalada de privilegios en el instalador de Lightroom Classic sin conexión. Un atacante autenticado podría aprovechar esta vulnerabilidad para escalar privilegios. Es requerida la interacción del usuario antes de la instalación del producto para abusar de esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2022

Vulnerabilidad en Adobe Prelude (CVE-2021-43754)
Fecha de publicación:
15/06/2022
Idioma:
Español
Adobe Prelude versión 22.1.1 (y anteriores) está afectada por una vulnerabilidad de corrupción de memoria debido a un manejo no segura de un archivo malicioso, resultando potencialmente en una ejecución de código arbitrario en el contexto del usuario actual. Es requerida la interacción del usuario para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
01/08/2023

Vulnerabilidad en Adobe Media Encoder (CVE-2021-43756)
Fecha de publicación:
15/06/2022
Idioma:
Español
Adobe Media Encoder versiones 22.0, 15.4.2 (y anteriores), están afectadas por una vulnerabilidad de corrupción de memoria. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr la ejecución de código arbitrario en el contexto del usuario actual. Una explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Gravedad CVSS v3.1: ALTA
Última modificación:
01/08/2023

Vulnerabilidad en la interfaz de administración basada en la web de Cisco Identity Services Engine (ISE) (CVE-2022-20819)
Fecha de publicación:
15/06/2022
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en la web de Cisco Identity Services Engine (ISE) podría permitir a un atacante remoto autenticado obtener información confidencial de un dispositivo afectado. Esta vulnerabilidad se presenta porque los niveles de privilegio administrativo para los datos confidenciales no son aplicados apropiadamente. Un atacante con privilegios de sólo lectura para la interfaz de administración basada en la web en un dispositivo afectado podría explotar esta vulnerabilidad al navegar a una página que contenga datos confidenciales. Una explotación con éxito podría permitir al atacante recopilar información confidencial sobre la configuración del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la interfaz de administración basada en la web de los routers Cisco Small Business RV110W, RV130, RV130W y RV215W (CVE-2022-20825)
Fecha de publicación:
15/06/2022
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en la web de los routers Cisco Small Business RV110W, RV130, RV130W y RV215W podría permitir a un atacante remoto no autenticado ejecutar código arbitrario o causar el reinicio inesperado del dispositivo afectado, resultando en una condición de denegación de servicio (DoS). Esta vulnerabilidad es debido a una comprobación insuficiente de la entrada del usuario en los paquetes HTTP entrantes. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición diseñada a la interfaz de administración basada en la web. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en un dispositivo afectado usando privilegios de nivel root. Cisco no ha publicado actualizaciones de software que aborden esta vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en la interfaz de administración web de Cisco Secure Email and Web Manager y Cisco Email Security Appliance (ESA) (CVE-2022-20664)
Fecha de publicación:
15/06/2022
Idioma:
Español
Una vulnerabilidad en la interfaz de administración web de Cisco Secure Email and Web Manager, anteriormente Cisco Security Management Appliance (SMA), y Cisco Email Security Appliance (ESA) podría permitir a un atacante remoto autenticado recuperar información confidencial de un servidor de autenticación externa Lightweight Directory Access Protocol (LDAP) conectado a un dispositivo afectado. Esta vulnerabilidad es debido a una falta de saneo de entrada apropiado mientras es consultado el servidor de autenticación externo. Un atacante podría explotar esta vulnerabilidad mediante el envío de una consulta diseñada mediante una página web de autenticación externa. Una explotación con éxito podría permitir al atacante conseguir acceso a información confidencial, incluyendo credenciales de usuario del servidor de autenticación externa. Para explotar esta vulnerabilidad, un atacante necesitaría credenciales válidas a nivel de operador (o superior)
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la interfaz de administración basada en web del software Cisco AppDynamics Controller (CVE-2022-20736)
Fecha de publicación:
15/06/2022
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web del software Cisco AppDynamics Controller podría permitir a un atacante remoto no autenticado acceder a un archivo de configuración y a la página de inicio de sesión de una consola administrativa a la que normalmente no tendría autorización para acceder. Esta vulnerabilidad es debido a una comprobación inapropiada de la autorización para las peticiones HTTP que son enviadas a la interfaz de administración basada en web afectada. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada a una instancia afectada de AppDynamics Controller. Una explotación con éxito podría permitir al atacante acceder a la página de inicio de sesión de una consola administrativa. AppDynamics ha publicado actualizaciones de software que abordan esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades