Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Cisco Enterprise NFV Infrastructure Software (NFVIS) (CVE-2022-20777)
Fecha de publicación:
04/05/2022
Idioma:
Español
Múltiples vulnerabilidades en Cisco Enterprise NFV Infrastructure Software (NFVIS) podrían permitir a un atacante escapar de la máquina virtual (VM) invitada a la máquina anfitriona, inyectar comandos que son ejecutados a nivel root o filtrar datos del sistema desde el anfitrión a la VM. Para obtener más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en la interfaz de administración basada en la web de los routers Cisco Small Business RV340 y RV345 (CVE-2022-20799)
Fecha de publicación:
04/05/2022
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de administración basada en la web de los routers Cisco Small Business RV340 y RV345, podrían permitir a un atacante remoto autenticado inyectar y ejecutar comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado. Estas vulnerabilidades son debido a que no han sido comprobados suficientemente las entrada proporcionadas por el usuario. Un atacante podría explotar estas vulnerabilidades mediante el envío de entradas maliciosas a un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo Linux subyacente del dispositivo afectado. Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la interfaz de administración basada en la web de los routers Cisco Small Business RV340 y RV345 (CVE-2022-20801)
Fecha de publicación:
04/05/2022
Idioma:
Español
Múltiples vulnerabilidades en la interfaz de administración basada en la web de los routers Cisco Small Business RV340 y RV345 podrían permitir a un atacante remoto autenticado inyectar y ejecutar comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado. Estas vulnerabilidades son debido a que no se han comprobado suficientemente las entradas proporcionadas por el usuario. Un atacante podría explotar estas vulnerabilidades mediante el envío de entradas maliciosas a un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo Linux subyacente del dispositivo afectado. Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en las peticiones HTTP en Fortinet FortiOS y FortiProxy (CVE-2021-43206)
Fecha de publicación:
04/05/2022
Idioma:
Español
Un mensaje de error generado por el servidor que contiene información confidencial en Fortinet FortiOS 7.0.0 a 7.0.3, 6.4.0 a 6.4.8, 6.2.x, 6.0.x y FortiProxy 7.0.0 a 7.0.1, 2.0.x, permite a servidores web maliciosos recuperar el nombre de usuario y la IP del cliente de un proxy web por medio de peticiones HTTP del mismo origen que provocan páginas de códigos de estado HTTP generadas por el proxy
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2022

Vulnerabilidad en la URL de regeneración en FortiIsolator (CVE-2021-41020)
Fecha de publicación:
04/05/2022
Idioma:
Español
Una vulnerabilidad de control de acceso inapropiado [CWE-284] en FortiIsolator versiones 2.3.2 y anteriores, puede permitir que un atacante autenticado y no privilegiado regenere el certificado de CA por medio de la URL de regeneración
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en FortiOS (CVE-2021-41032)
Fecha de publicación:
04/05/2022
Idioma:
Español
Una vulnerabilidad de control de acceso inapropiado [CWE-284] en FortiOS versiones 6.4.8 y anteriores y 7.0.3 y anteriores, puede permitir a un atacante autenticado con un perfil de usuario restringido recopilar información confidencial y modificar el estado del túnel SSL-VPN de otros VDOMs usando comandos CLI específicos
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en las peticiones HTTP GET en Fortinet FortiSOAR (CVE-2022-23443)
Fecha de publicación:
04/05/2022
Idioma:
Español
Un control de acceso inapropiado en Fortinet FortiSOAR versiones anteriores a 7.2.0, permite a atacantes no autenticados acceder a los datos de la API de la pasarela por medio de peticiones HTTP GET diseñadas
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en la interfaz /goform/setpptpservercfg de la web en Tenda AC15 (CVE-2022-28556)
Fecha de publicación:
04/05/2022
Idioma:
Español
Tenda AC15 versión US_AC15V1.0BR_V15.03.05.20_multi_TDE01.bin, es vulnerable a un desbordamiento del búfer. La vulnerabilidad de desbordamiento de pila se encuentra en la interfaz /goform/setpptpservercfg de la web. Los datos post enviados startip y endip son copiados a la pila usando la función sanf, resultando en un desbordamiento de pila. Del mismo modo, esta vulnerabilidad puede usarse junto con CVE-2021-44971
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en la interfaz /goform/setsambacfg de la web del dispositivo Tenda AC15 (CVE-2022-28557)
Fecha de publicación:
04/05/2022
Idioma:
Español
Se presenta una vulnerabilidad de inyección de comandos en la interfaz /goform/setsambacfg de la web del dispositivo Tenda AC15 versión US_AC15V1.0BR_V15.03.05.20_multi_TDE01.bin, que también puede cooperar con CVE-2021-44971 para causar una ejecución de comandos arbitrarios incondicionales
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en H3C MagicR100 (CVE-2022-28940)
Fecha de publicación:
04/05/2022
Idioma:
Español
En H3C MagicR100 versiones anteriores a V100R005 incluyéndola, puede accederse a la interfaz / Ajax / ajaxget sin autorización. Es enviada una gran cantidad de datos mediante ajaxmsg para llevar a cabo un ataque DOS
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en uno de los componentes del instalador de SonicWall Global VPN Client (CVE-2021-20051)
Fecha de publicación:
04/05/2022
Idioma:
Español
El instalador de SonicWall Global VPN Client versión 4.10.7.1117 (32 y 64 bits) y versiones anteriores, presentan una vulnerabilidad de secuestro de orden de búsqueda de DLL en uno de los componentes del instalador. Una explotación con éxito por medio de un atacante local podría resultar en una ejecución de comandos en el sistema de destino
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2022

Vulnerabilidad en una carga de imágenes desde el panel del administrador en Sourcecodester Doctor's Appointment System (CVE-2022-28568)
Fecha de publicación:
04/05/2022
Idioma:
Español
Sourcecodester Doctor's Appointment System versión 1.0, es vulnerable a una carga de archivos a RCE por medio de una carga de imágenes desde el panel del administrador. Un atacante puede obtener una ejecución de comandos remota con sólo conocer la ruta donde son almacenadas las imágenes
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/05/2022
Suscribirse a Vulnerabilidades