Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo Ap4StsdAtom.cpp en la función AP4_StsdAtom del componente MP4fragment en Axiomatic Bento4 (CVE-2022-3663)
Fecha de publicación:
26/10/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en Axiomatic Bento4. Ha sido calificada como problemática. Este problema afecta a la función AP4_StsdAtom del archivo Ap4StsdAtom.cpp del componente MP4fragment. La manipulación conlleva a una desreferencia de puntero null. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede ser usada. El identificador asociado a esta vulnerabilidad es VDB-212003
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo Ap4Sample.h en la función GetOffset del componente mp42hls en Axiomatic Bento4 (CVE-2022-3662)
Fecha de publicación:
26/10/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en Axiomatic Bento4. Ha sido declarada como crítica. Esta vulnerabilidad afecta a la función GetOffset del archivo Ap4Sample.h del componente mp42hls. La manipulación conlleva a un uso de memoria previamente liberada. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede ser usada. VDB-212002 es el identificador asignado a esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Bazel (CVE-2022-3474)
Fecha de publicación:
26/10/2022
Idioma:
Español
Un manejo inapropiado de credenciales en la API de activos remotos para Bazel versiones anteriores a 5.3.2 y 4.2.3, envía todas las credenciales proporcionadas por el usuario en lugar de sólo las requeridas para las peticiones. Recomendamos actualizar a versiones posteriores o iguales a 5.3.2 o 4.2.3
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2024

Vulnerabilidad en Metabase (CVE-2022-39362)
Fecha de publicación:
26/10/2022
Idioma:
Español
Metabase es un software de visualización de datos. En versiones anteriores a 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9, eran auto ejecutadas las consultas SQL no guardadas, lo que podía suponer un posible vector de ataque. Este problema ha sido corregido en versiones 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9. Metabase ya no ejecuta automáticamente las consultas nativas ad hoc. Ahora el editor nativo muestra la consulta y da al usuario la opción de ejecutarla manualmente si lo desea
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2022

Vulnerabilidad en Metabase (CVE-2022-39361)
Fecha de publicación:
26/10/2022
Idioma:
Español
Metabase es un software de visualización de datos. En versiones anteriores a 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9, H2 (base de datos de muestra) podía permitir una ejecución de código remota (RCE), de la que podían abusar los usuarios capaces de escribir consultas SQL en las bases de datos H2. Este problema está parcheado en versiones 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9. Metabase ya no permite las sentencias DDL en las consultas nativas H2
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2022

Vulnerabilidad en Metabase (CVE-2022-39360)
Fecha de publicación:
26/10/2022
Idioma:
Español
Metabase es un software de visualización de datos. En versiones anteriores a 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9, los usuarios de inicio de sesión único (SSO) podían restablecer sus contraseñas en Metabase, lo que podía permitir el acceso de un usuario sin pasar por el IdP de SSO. Este problema ha sido corregido en las versiones 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9. Metabase ahora bloquea el restablecimiento de la contraseña para todos los usuarios que usan SSO para su inicio de sesión en Metabase
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2022

Vulnerabilidad en Metabase (CVE-2022-39359)
Fecha de publicación:
26/10/2022
Idioma:
Español
Metabase es un software de visualización de datos. En versiones anteriores a 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9, las direcciones URL de los mapas GeoJSON personalizados seguían redireccionamientos a direcciones que no estaban permitidas, como link-local o private-network. Este problema ha sido corregido en versiones 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9. Metabase ya no sigue los redireccionamientos en las URL de mapas GeoJSON. También fue añadida una variable de entorno "MB_CUSTOM_GEOJSON_ENABLED" para deshabilitar completamente el GeoJSON personalizado ("true" por defecto)
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2022

Vulnerabilidad en Metabase (CVE-2022-39358)
Fecha de publicación:
26/10/2022
Idioma:
Español
Metabase es un software de visualización de datos. En versiones anteriores a 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6 y 1.42.6, era posible omitir los parámetros bloqueados cuando se solicitaban datos para una pregunta en un tablero de mando insertado al construir una petición maliciosa al backend. Este problema está parcheado en versiones 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6 y 1.42.6
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2022

Vulnerabilidad en el endpoint /api/geojson en Metabase (CVE-2022-43776)
Fecha de publicación:
26/10/2022
Idioma:
Español
El parámetro url del endpoint /api/geojson en Metabase versiones anteriores a 44.5, puede ser usado para llevar a cabo ataques de tipo Server Side Request Forgery. Las listas negras implementadas anteriormente podían ser omitidas aprovechando los redireccionamientos 301 y 302
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en la clase HandlerPageP_KID de Delta Electronics DIAEnergy (CVE-2022-43774)
Fecha de publicación:
26/10/2022
Idioma:
Español
La clase HandlerPageP_KID de Delta Electronics DIAEnergy versión v1.9, contiene un fallo de Inyección SQL que podría permitir a un atacante conseguir una ejecución de código en un sistema remoto
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en la clase HICT_Loop en Delta Electronics DIAEnergy (CVE-2022-43775)
Fecha de publicación:
26/10/2022
Idioma:
Español
La clase HICT_Loop en Delta Electronics DIAEnergy versión v1.9, contiene un fallo de Inyección SQL que podría permitir a un atacante conseguir una ejecución de código en un sistema remoto
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en /admin/advicefeedback/list en JFinal CMS (CVE-2022-37202)
Fecha de publicación:
26/10/2022
Idioma:
Español
JFinal CMS versión 5.1.0, es vulnerable a una inyección SQL por medio de /admin/advicefeedback/list
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025
Suscribirse a Vulnerabilidades