Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la funcionalidad de inicio de sesión en múltiples productos Desigo (CVE-2022-24044)
Fecha de publicación:
20/05/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Desigo DXR2 (Todas las versiones anteriores a V01.21.142.5-22), Desigo PXC3 (Todas las versiones anteriores a V01.21.142.4-18), Desigo PXC4 (Todas las versiones anteriores a V02.20.142.10-10884), Desigo PXC5 (Todas las versiones anteriores a V02.20.142.10-10884). La funcionalidad de inicio de sesión de la aplicación no emplea ninguna contramedida contra los ataques de rociado de contraseñas o de relleno de credenciales. Un atacante podría obtener una lista de nombres de usuario válidos en el dispositivo aprovechando el problema y luego llevar a cabo un ataque preciso de Password Spraying o Credential Stuffing para obtener acceso a al menos una cuenta
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2022

Vulnerabilidad en HMA VPN (CVE-2022-26634)
Fecha de publicación:
20/05/2022
Idioma:
Español
HMA VPN versión v5.3.5913.0, contiene una ruta de servicio no citada que permite a atacantes escalar privilegios al nivel del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
03/10/2023

CVE-2022-27092
Fecha de publicación:
20/05/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en la cookie de sesión en el navegador por medio de código JavaScript del lado del cliente en múltiples productos Desigo (CVE-2022-24045)
Fecha de publicación:
20/05/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Desigo DXR2 (Todas las versiones anteriores a V01.21.142.5-22), Desigo PXC3 (Todas las versiones anteriores a V01.21.142.4-18), Desigo PXC4 (Todas las versiones anteriores a V02.20.142.10-10884), Desigo PXC5 (Todas las versiones anteriores a V02.20.142.10-10884). La aplicación, tras un inicio de sesión con éxito, establece la cookie de sesión en el navegador por medio de código JavaScript del lado del cliente, sin aplicar ningún atributo de seguridad (como "Secure", "HttpOnly" o "SameSite"). Cualquier intento de navegar por la aplicación por medio del protocolo HTTP sin cifrar conllevaría a una transmisión de todas sus cookies de sesión en texto plano mediante la red. Un atacante podría entonces ser capaz de husmear en la red y capturar información confidencial
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/06/2023

Vulnerabilidad en el Modo Kiosco de WinCC en múltiples productos SIMATIC (CVE-2022-24287)
Fecha de publicación:
20/05/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en SIMATIC PCS 7 V9.0 y anteriores (Todas las versiones), SIMATIC PCS 7 V9.1 (Todas las versiones anteriores V9.1 SP1 UC01), SIMATIC WinCC Runtime Professional V16 y anteriores (Todas las versiones), SIMATIC WinCC Runtime Professional V17 (Todas las versiones anteriores V17 Upd4), SIMATIC WinCC V7.4 y anteriores (Todas las versiones), SIMATIC WinCC V7.5 (Todas las versiones anteriores V7.5 SP2 Update 8). Un atacante autenticado podría escapar del modo quiosco de WinCC abriendo el cuadro de diálogo de la impresora en la aplicación afectada en caso de que no haya ninguna impresora instalada
Gravedad CVSS v3.1: ALTA
Última modificación:
14/11/2023

Vulnerabilidad en el repositorio de GitHub jgraph/drawio (CVE-2022-1784)
Fecha de publicación:
20/05/2022
Idioma:
Español
Una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el repositorio de GitHub jgraph/drawio versiones anteriores a 18.0.8
Gravedad CVSS v3.1: ALTA
Última modificación:
07/06/2022

Vulnerabilidad en el Firewall de Windows en algunos productos de Goverlan (CVE-2022-31215)
Fecha de publicación:
20/05/2022
Idioma:
Español
En algunos productos de Goverlan, el Firewall de Windows es deshabilitado temporalmente tras una operación de actualización del agente de Goverlan. Esto permite a atacantes remotos omitir las reglas de bloqueo del firewall durante un periodo de tiempo de hasta 30 segundos. Esto afecta a Goverlan Reach Console versiones anteriores a 10.5.1, Reach Server versiones anteriores a 3.70.1 y Reach Client Agents versiones anteriores a 10.1.11
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/06/2022

Vulnerabilidad en un archivo markdown en Proton (CVE-2022-25224)
Fecha de publicación:
20/05/2022
Idioma:
Español
Proton versión v0.2.0, permite a un atacante crear un enlace malicioso dentro de un archivo markdown. Cuando la víctima hace clic en el enlace, la aplicación abre el sitio en el marco actual permitiendo a un atacante alojar código JavaScript en el enlace malicioso para desencadenar un ataque de tipo XSS. La configuración "nodeIntegration" está habilitada, lo que permite a la página web usar las características de "NodeJs", un atacante puede aprovechar esto para ejecutar comandos del Sistema Operativo
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/05/2022

Vulnerabilidad en Thinfinity VNC (CVE-2022-25227)
Fecha de publicación:
20/05/2022
Idioma:
Español
Thinfinity VNC versión v4.0.0.1, contiene una vulnerabilidad en el uso compartido de recursos entre orígenes (CORS) que puede permitir a un atacante remoto no privilegiado, si consigue engañar a un usuario para que navegue por un sitio malicioso, obtener un "ID" que puede ser usado para enviar peticiones de websocket y conseguir un RCE
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2022

Vulnerabilidad en OPC UA Legacy Java Stack (CVE-2022-30551)
Fecha de publicación:
20/05/2022
Idioma:
Español
OPC UA Legacy Java Stack versión 01-04-2022, permite a un atacante remoto causar que un servidor deje de procesar mensajes mediante el envío de mensajes diseñados que agotan los recursos disponibles
Gravedad CVSS v3.1: ALTA
Última modificación:
01/06/2022

Vulnerabilidad en la página "settings" en Popcorn Time (CVE-2022-25229)
Fecha de publicación:
20/05/2022
Idioma:
Español
Popcorn Time versión 0.4.7, presenta un ataque de tipo XSS almacenado en el campo "Movies API Server(s)'' por medio de la página "settings". La configuración "nodeIntegration" está habilitada, lo que permite a la página web usar las características de "NodeJs", un atacante puede aprovechar esto para ejecutar comandos del Sistema Operativo
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/05/2022

Vulnerabilidad en el repositorio GitHub rtxteam/rtx (CVE-2022-1806)
Fecha de publicación:
20/05/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Reflejado en el repositorio GitHub rtxteam/rtx versiones anteriores al checkpoint_18-05-2022
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/05/2022
Suscribirse a Vulnerabilidades