Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Acer Care Center (CVE-2022-24285)
Fecha de publicación:
10/03/2022
Idioma:
Español
Acer Care Center versiones 4.00.30xx anteriores a 4.00.3042 contienen una vulnerabilidad de escalada de privilegios local. El proceso de usuario es comunicado con un servicio de autoridad del sistema llamado ACCsvc mediante una tubería con nombre. En este caso, la tubería nombrada también recibe derechos de lectura y escritura del usuario general. Además, el programa de servicio no verifica el usuario cuando es comunicado. Puede existir un hilo con un comando específico. Cuando es enviada la ruta del programa a ejecutar, es producida una escalada de privilegios local en la que el programa de servicio ejecuta la ruta con privilegios del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2022

Vulnerabilidad en el componente cgi-bin/ej.cgi de Ex libris ALEPH 500 (CVE-2022-24177)
Fecha de publicación:
10/03/2022
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en el componente cgi-bin/ej.cgi de Ex libris ALEPH 500 versiones v18.1 y v20, permite a atacantes ejecutar scripts web o HTML arbitrarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2022

Vulnerabilidad en CasaOS (CVE-2022-24193)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se ha detectado que CasaOS versiones anteriores a v0.2.7 contiene una vulnerabilidad de inyección de comandos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/07/2023

Vulnerabilidad en el campo email_recipients en SuiteCRM (CVE-2022-23940)
Fecha de publicación:
10/03/2022
Idioma:
Español
SuiteCRM versiones hasta 7.12.1 y versiones 8.x hasta 8.0.1, permite una Ejecución de Código Remota. Los usuarios autenticados con acceso al módulo de Informes Programados pueden lograr esto al aprovechar la deserialización de PHP en la propiedad email_recipients. Usando una petición diseñada, pueden crear un informe malicioso que contenga una carga útil de deserialización PHP en el campo email_recipients. Una vez que alguien acceda a este informe, el backend deserializará el contenido del campo email_recipients y la carga útil será ejecutada. Las dependencias del proyecto incluyen una serie de interesantes gadgets de deserialización de PHP (por ejemplo, Monolog/RCE1 de phpggc) que pueden ser usados para una Ejecución de Código
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2022

Vulnerabilidad en YzmCMS (CVE-2022-23383)
Fecha de publicación:
10/03/2022
Idioma:
Español
YzmCMS versión v6.3, está afectado por un control de acceso roto. Sin el acceso, puede realizarse un acceso no autorizado a la página personal del usuario. Es necesario juzgar el estado de inicio de sesión del usuario antes de acceder a la página de inicio personal, pero la vulnerabilidad puede acceder a las páginas de inicio de otros usuarios mediante el estado de no inicio de sesión porque la autenticación real no es llevada a cabo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/03/2022

Vulnerabilidad en algunas secciones en la aplicación web del dispositivo vulnerable (CVE-2022-22985)
Fecha de publicación:
10/03/2022
Idioma:
Español
La ausencia de filtros cuando son cargadas algunas secciones en la aplicación web del dispositivo vulnerable permite a atacantes inyectar código malicioso que será interpretado cuando un usuario legítimo acceda a la sección web específica donde es mostrada la información. La inyección puede realizarse sobre parámetros específicos. El código inyectado es ejecutado cuando un usuario legítimo intenta revisar el historial
Gravedad CVSS v3.1: ALTA
Última modificación:
27/06/2023

Vulnerabilidad en la funcionalidad Test Trasformazione XSL en OverIT Geocall (CVE-2022-22834)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se ha detectado un problema en OverIT Geocall versiones anteriores a 8.0. Un usuario autenticado que tenga habilitada la funcionalidad Test Trasformazione XSL puede explotar una vulnerabilidad de inyección XSLT. Los atacantes podrían aprovechar este problema para lograr una ejecución de código remota
Gravedad CVSS v3.1: ALTA
Última modificación:
18/09/2024

Vulnerabilidad en la funcionalidad Test Trasformazione XSL en OverIT Geocall (CVE-2022-22835)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se ha detectado un problema en OverIT Geocall versiones anteriores a 8.0. Un usuario autenticado que tenga habilitada la funcionalidad Test Trasformazione XSL puede aprovechar una vulnerabilidad de tipo XXE para leer archivos arbitrarios del sistema de archivos
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/09/2024

Vulnerabilidad en el servicio System Diagnosis de MyASUS (CVE-2022-22814)
Fecha de publicación:
10/03/2022
Idioma:
Español
El servicio System Diagnosis de MyASUS versiones anteriores a 3.1.2.0, permite una escalada de privilegios
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Signiant - Manager+Agents (CVE-2022-22795)
Fecha de publicación:
10/03/2022
Idioma:
Español
Signiant - Manager+Agents un ataque de tipo XML External Entity (XXE) - Extraer archivos internos de la máquina afectada Un atacante puede leer todos los archivos del sistema, el producto es ejecutado con root en sistemas Linux y nt/authority en sistemas Windows, lo que le permite acceder y extraer cualquier archivo de los sistemas, como passwd, shadow, hosts, etc. Al conseguir acceso a estos archivos, los atacantes pueden robar información confidencial de la máquina de las víctimas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/03/2022

Vulnerabilidad en un puerto aleatorio 9000-65535 en Simple Diagnostics Agent (CVE-2022-22547)
Fecha de publicación:
10/03/2022
Idioma:
Español
Simple Diagnostics Agent - versiones 1.0 (hasta la versión 1.57.), permite a un atacante acceder a información que de otro modo estaría restringida por medio de un puerto aleatorio 9000-65535. Esto permite una recopilación de información que podría ser usada para explotar futuras explotaciones de seguridad de código abierto
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2022

Vulnerabilidad en un archivo CXP en CX-Programmer (CVE-2022-21219)
Fecha de publicación:
10/03/2022
Idioma:
Español
Una vulnerabilidad de lectura fuera de límites en CX-Programmer versiones v9.76.1 y anteriores, que forma parte de la suite CX-One (v4.60), permite a un atacante causar una divulgación de información y/o la ejecución de código arbitrario al hacer que un usuario abra un archivo CXP especialmente diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
14/03/2022
Suscribirse a Vulnerabilidades