Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en TensorFlow (CVE-2022-41909)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. Una entrada "encoded" que no es un tensor válido "CompositeTensorVariant" activará un error de segmentación en "tf.raw_ops.CompositeTensorVariantToComponents". Hemos solucionado el problema en los commits de GitHub bf594d08d377dc6a3354d9fdb494b32d45f91971 y 660ce5a89eb6766834bdc303d2ab3902aef99d3d. La solución se incluirá en TensorFlow 2.11. También seleccionaremos este commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2023

Vulnerabilidad en TensorFlow (CVE-2022-41907)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. Cuando a `tf.raw_ops.ResizeNearestNeighborGrad` se le da una entrada de 'size' grande, se desborda. Hemos solucionado el problema en el commit de GitHub 00c821af032ba9e5f5fa3fe14690c8d28a657624. La solución se incluirá en TensorFlow 2.11. También seleccionaremos este commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/11/2022

Vulnerabilidad en TensorFlow (CVE-2022-41908)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. Un `token` de entrada que no sea una cadena de bytes UTF-8 provocará un error de `CHECK` en `tf.raw_ops.PyFunc`. Hemos solucionado el problema en el commit de GitHub 9f03a9d3bafe902c1e6beb105b2f24172f238645. La solución se incluirá en TensorFlow 2.11. También seleccionaremos el commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/11/2022

Vulnerabilidad en TensorFlow (CVE-2022-41900)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. La vulnerabilidad de seguridad da como resultado un grupo FractionalMax(AVG) con una relación de agrupación ilegal. Los atacantes que utilizan Tensorflow pueden aprovechar la vulnerabilidad. Pueden acceder a la memoria del montón que no está bajo el control del usuario, lo que provoca un bloqueo o la ejecución remota de código. Hemos solucionado el problema en el commit de GitHub 216525144ee7c910296f5b05d214ca1327c9ce48. La solución se incluirá en TensorFlow 2.11.0. También seleccionaremos este commit en TensorFlow 2.10.1.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/11/2022

Vulnerabilidad en TensorFlow (CVE-2022-41901)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. Una entrada `sparse_matrix` que no sea una matriz con una forma con rango 0 provocará un error de `CHECK` en `tf.raw_ops.SparseMatrixNNZ`. Hemos solucionado el problema en el commit de GitHub f856d02e5322821aad155dad9b3acab1e9f5d693. La solución se incluirá en TensorFlow 2.11. También seleccionaremos este commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2023

Vulnerabilidad en TensorFlow (CVE-2022-41897)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. Si a `FractionMaxPoolGrad` se le dan entradas de gran tamaño `row_pooling_sequence` y `col_pooling_sequence`, TensorFlow fallará. Hemos solucionado el problema en GitHub, en el commit d71090c3e5ca325bdf4b02eb236cfb3ee823e927. La solución se incluirá en TensorFlow 2.11. También aplicaremos este commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/11/2022

Vulnerabilidad en TensorFlow (CVE-2022-41899)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. Las entradas `dense_features` o `example_state_data` que no sean de rango 2 provocarán un error de `CHECK` en `SdcaOptimizer`. Hemos solucionado el problema en el commit de GitHub 80ff197d03db2a70c6a111f97dcdacad1b0babfa. La solución se incluirá en TensorFlow 2.11. También seleccionaremos este commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2023

Vulnerabilidad en TensorFlow (CVE-2022-41898)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. Si a `SparseFillEmptyRowsGrad` se le dan entradas vacías, TensorFlow fallará. Hemos solucionado el problema en Github, en el commit af4a6a3c8b95022c351edae94560acc61253a1b8. La solución se incluirá en TensorFlow 2.11. También aplicaremos este commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2023

Vulnerabilidad en TensorFlow (CVE-2022-41895)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. Si a "MirrorPadGrad" se le asignan "rellenos" de entrada de gran tamaño, TensorFlow generará un error OOB de montón. Hemos solucionado el problema en el commit de GitHub 717ca98d8c3bba348ff62281fdf38dcb5ea1ec92. La solución se incluirá en TensorFlow 2.11. También seleccionaremos este commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/11/2022

Vulnerabilidad en TensorFlow (CVE-2022-41896)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. Si a `ThreadUnsafeUnigramCandidateSampler` se le da una entrada `filterbank_channel_count` mayor que el tamaño máximo permitido, TensorFlow fallará. Hemos solucionado el problema en el commit de GitHub 39ec7eaf1428e90c37787e5b3fbd68ebd3c48860. La solución se incluirá en TensorFlow 2.11. También seleccionaremos este commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/07/2023

Vulnerabilidad en TensorFlow (CVE-2022-41893)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. Si a `tf.raw_ops.TensorListResize` se le asigna un valor no escalar para la entrada `size`, se produce un error de `CHECK` que puede usarse para desencadenar un ataque de Denegación de Servicio (DoS). Hemos solucionado el problema en el commit de GitHub 888e34b49009a4e734c27ab0c43b0b5102682c56. La solución se incluirá en TensorFlow 2.11. También seleccionaremos este commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/11/2022

Vulnerabilidad en TensorFlow (CVE-2022-41894)
Fecha de publicación:
18/11/2022
Idioma:
Español
TensorFlow es una plataforma de código abierto para aprendizaje automático. El núcleo de referencia del operador `CONV_3D_TRANSPOSE` de TensorFlow Lite incrementa erróneamente data_ptr al agregar el sesgo al resultado. En lugar de `data_ptr += num_channels;` debería ser `data_ptr += output_num_channels;` ya que si el número de canales de entrada es diferente al número de canales de salida, se devolverá un resultado incorrecto y se producirá un desbordamiento del búfer si num_channels > output_num_channels. Un atacante puede crear un modelo con un número específico de canales de entrada. Entonces es posible escribir valores específicos a través del sesgo de la capa fuera de los límites del búfer. Este ataque solo funciona si se utiliza el solucionador del núcleo de referencia en el intérprete. Hemos solucionado el problema en el compromiso de GitHub 72c0bdcb25305b0b36842d746cc61d72658d2941. La solución se incluirá en TensorFlow 2.11. También seleccionaremos este commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/11/2022
Suscribirse a Vulnerabilidades