Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el nombre del grupo primario en Anuko Time Tracker (CVE-2022-24708)
Fecha de publicación:
24/02/2022
Idioma:
Español
Anuko Time Tracker es una aplicación de seguimiento del tiempo basada en la web y de código abierto escrita en PHP. ttUser.class.php en Time Tracker versiones anteriores a 1.20.0.5646, no escapaba el nombre del grupo primario para su visualización. Debido a esto, era posible que un usuario conectado modificara el nombre del grupo primario con elementos de JavaScript. Dicho script podía ser ejecutado en el navegador del usuario en peticiones posteriores en páginas donde fuera mostrado el nombre del grupo primario. Esta vulnerabilidad ha sido corregida en versión 1.20.0.5646. Los usuarios que no puedan actualizar pueden modificar ttUser.class.php para usar una llamada adicional a htmlspecialchars cuando es impreso el nombre del grupo
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2022

Vulnerabilidad en el plugin Puncher de Time Tracker en Anuko Time Tracker (CVE-2022-24707)
Fecha de publicación:
24/02/2022
Idioma:
Español
Anuko Time Tracker es una aplicación de seguimiento del tiempo basada en la web y de código abierto escrita en PHP. Unas vulnerabilidades de inyección SQL y de inyección ciega basada en el tiempo se presentan en el plugin Puncher de Time Tracker en anuko timetracker versiones anteriores a 1.20.0.5642. Esto ocurría porque el plugin Puncher reusaba código de otros lugares y era basado en un parámetro de fecha no saneado en las peticiones POST. Como el parámetro no era comprobado, era posible diseñar peticiones POST con SQL malicioso para la base de datos de Time Tracker. Este problema ha sido resuelto en versión 1.20.0.5642. Es recomendado a usuarios que no puedan actualizarse añadir sus propias comprobaciones a la entrada
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2022

Vulnerabilidad en la infraestructura de backend compartida por múltiples servicios de monitorización de dispositivos móviles (CVE-2022-0732)
Fecha de publicación:
24/02/2022
Idioma:
Español
La infraestructura de backend compartida por múltiples servicios de monitorización de dispositivos móviles no autentica o autoriza apropiadamente las peticiones de la API, creando una vulnerabilidad IDOR (Insecure Direct Object Reference)
Gravedad CVSS v3.1: ALTA
Última modificación:
27/06/2023

Vulnerabilidad en HashiCorp Consul y Consul Enterprise (CVE-2022-24687)
Fecha de publicación:
24/02/2022
Idioma:
Español
Los clusters de HashiCorp Consul y Consul Enterprise versiones 1.9.0 a 1.9.14, 1.10.7 y 1.11.2 con al menos un Ingress Gateway permiten que un usuario con service:write registre un servicio específicamente definido que puede hacer que los servidores de Consul entren en pánico. Corregido en las versiones 1.9.15, 1.10.8 y 1.11.3
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en Laravel Fortify (CVE-2022-25838)
Fecha de publicación:
24/02/2022
Idioma:
Español
Laravel Fortify versiones anteriores a 1.11.1, permite el reúso dentro de una ventana de tiempo corta, lo que pone en duda la parte "OT" del concepto "TOTP"
Gravedad CVSS v3.1: ALTA
Última modificación:
08/03/2022

Vulnerabilidad en wolfSSL (CVE-2022-25638)
Fecha de publicación:
24/02/2022
Idioma:
Español
En wolfSSL versiones anteriores a 5.2.0, una comprobación del certificado puede ser omitida durante el intento de autenticación por parte de un cliente TLS versión 1.3 a un servidor TLS versión 1.3. Esto ocurre cuando el campo sig_algo difiere entre el mensaje certificate_verify y el mensaje de certificado
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2022

Vulnerabilidad en la salida de audio de los dispositivos Amazon Echo Dot de 3ª y 4ª generación (CVE-2022-25809)
Fecha de publicación:
24/02/2022
Idioma:
Español
Una Neutralización Inapropiada de la salida de audio de los dispositivos Amazon Echo Dot de 3ª y 4ª generación permite una ejecución de comandos de voz arbitrarios en estos dispositivos por medio de una habilidad maliciosa (en el caso de atacantes remotos) o mediante el emparejamiento de un dispositivo Bluetooth malicioso (en el caso de atacantes físicamente próximos), también conocido como ataque "Alexa versus Alexa (AvA)"
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en wolfSSL (CVE-2022-25640)
Fecha de publicación:
24/02/2022
Idioma:
Español
En wolfSSL versiones anteriores a 5.2.0, un servidor TLS versión 1.3 no puede aplicar correctamente el requisito de autenticación mutua. Un cliente puede simplemente omitir el mensaje certificate_verify del handshake, y nunca presentar un certificado
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en seatd-launch en seatd (CVE-2022-25643)
Fecha de publicación:
24/02/2022
Idioma:
Español
seatd-launch en seatd versiones 0.6.x anteriores a 0.6.4, permite eliminar archivos con privilegios escalados cuando es instalado setuid root. El vector de ataque es un nombre de ruta de socket suministrado por el usuario
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/11/2023

Vulnerabilidad en la función openSchedWifi en Tenda AC9 (CVE-2022-25418)
Fecha de publicación:
24/02/2022
Idioma:
Español
Se ha detectado que Tenda AC9 versión V15.03.2.21_cn, contiene un desbordamiento de pila por medio de la función openSchedWifi
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2022

Vulnerabilidad en la función copy del administrador de archivos en Cuppa CMS (CVE-2022-25401)
Fecha de publicación:
24/02/2022
Idioma:
Español
La función copy del administrador de archivos en Cuppa CMS versión v1.0, permite copiar cualquier archivo en el directorio actual, otorgando a atacantes acceso de lectura a archivos arbitrarios
Gravedad CVSS v3.1: ALTA
Última modificación:
03/03/2022

Vulnerabilidad en el componente admin.php en HMS (CVE-2022-25403)
Fecha de publicación:
24/02/2022
Idioma:
Español
Se ha detectado que HMS versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del componente admin.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2022
Suscribirse a Vulnerabilidades