Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Moodle (CVE-2022-0334)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se encontró un fallo en Moodle versiones 3.11 hasta 3.11.4, versiones 3.10 hasta 3.10.8, versiones 3.9 hasta 3.9.11 y versiones anteriores no soportadas. Una comprobación insuficiente de las capacidades podía conllevar a que usuarios accedieran a su informe de calificaciones para cursos en los que no tenían la capacidad gradereport/user:view requerida
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/12/2022

Vulnerabilidad en la funcionalidad "delete badge alignment" en Moodle (CVE-2022-0335)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se ha encontrado un fallo en Moodle en las versiones 3.11 hasta 3.11.4, versiones 3.10 hasta 3.10.8, versiones 3.9 hasta 3.9.11 y versiones anteriores no soportadas. La funcionalidad "delete badge alignment" no incluía la comprobación de tokens necesaria para evitar un riesgo de tipo CSRF
Gravedad CVSS v3.1: ALTA
Última modificación:
21/12/2022

Vulnerabilidad en Micro Focus en Micro Focus Operations Agent (CVE-2021-38129)
Fecha de publicación:
25/01/2022
Idioma:
Español
Una vulnerabilidad de escalada de privilegios en Micro Focus en Micro Focus Operations Agent, afectando a versiones 12.x hasta 12.21 incluyéndola. La vulnerabilidad podría ser aprovechada por un usuario local no privilegiado para acceder a los datos de supervisión del sistema recopilados por Operations Agent
Gravedad CVSS v3.1: BAJA
Última modificación:
07/11/2023

Vulnerabilidad en un archivo JT en Autodesk Inventor (CVE-2021-40158)
Fecha de publicación:
25/01/2022
Idioma:
Español
Un archivo JT malicioso en Autodesk Inventor 2022, 2021, 2020, 2019 y AutoCAD 2022 puede ser forzado a leer más allá de los límites asignados cuando se analiza el archivo JT. Esta vulnerabilidad, junto con otras, podría conducir a la ejecución de código en el contexto del proceso actual
Gravedad CVSS v3.1: ALTA
Última modificación:
16/11/2022

Vulnerabilidad en los archivos JT en Autodesk Inventor (CVE-2021-40159)
Fecha de publicación:
25/01/2022
Idioma:
Español
Una vulnerabilidad de divulgación de información para archivos JT en Autodesk Inventor 2022, 2021, 2020, 2019 junto con otras vulnerabilidades puede conducir a la ejecución de código a través de archivos JT maliciosamente elaborados en el contexto del proceso actual
Gravedad CVSS v3.1: ALTA
Última modificación:
16/11/2022

Vulnerabilidad en los archivos DWF y TGA en Autodesk Design Review (CVE-2021-40167)
Fecha de publicación:
25/01/2022
Idioma:
Español
Un archivo dwf o .pct malicioso, cuando se consume a través de la aplicación DesignReview.exe, podría conducir a una vulnerabilidad de corrupción de memoria por violación de acceso de lectura. Esta vulnerabilidad, junto con otras, podría conducir a la ejecución de código en el contexto del proceso actual
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en los encabezados de suplantación de kubernetes entrantes en bored-agent (CVE-2022-0270)
Fecha de publicación:
25/01/2022
Idioma:
Español
En versiones anteriores a 0.6.1, bored-agent no saneaba los encabezados de suplantación de kubernetes entrantes, permitiendo a un usuario anular el nombre de usuario y los grupos asignados
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2023

Vulnerabilidad en la API REST administrativa en Keycloak (CVE-2021-4133)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se ha encontrado un fallo en Keycloak en las versiones a partir de la 12.0.0 y anteriores hasta 15.1.1, que permite a un atacante con cualquier cuenta de usuario existente crear nuevas cuentas de usuario por defecto por medio de la API REST administrativa incluso cuando el registro de nuevos usuarios está deshabilitado
Gravedad CVSS v3.1: ALTA
Última modificación:
03/09/2022

Vulnerabilidad en Conda vim (CVE-2022-0351)
Fecha de publicación:
25/01/2022
Idioma:
Español
Acceso a la ubicación de la memoria antes del inicio del búfer en el repositorio GitHub vim/vim anterior a 8.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en IBM WebSphere Application Server - Liberty (CVE-2021-39031)
Fecha de publicación:
25/01/2022
Idioma:
Español
IBM WebSphere Application Server - Liberty versiones 17.0.0.3 hasta 22.0.0.1 podría permitir a un atacante remoto autenticado conducir una inyección LDAP. Usando una petición especialmente diseñada, un atacante podría explotar esta vulnerabilidad y podría resultar en la concesión de permisos a recursos no autorizados. IBM X-Force ID: 213875
Gravedad CVSS v3.1: ALTA
Última modificación:
28/01/2022

Vulnerabilidad en el sistema de fondo del CMS en jfinal_cms (CVE-2021-46087)
Fecha de publicación:
25/01/2022
Idioma:
Español
En jfinal_cms versiones posteriores a 5.1 0 incluyéndola, se presenta una vulnerabilidad de tipo XSS de almacenamiento en el sistema de fondo del CMS. Debido a que los desarrolladores no filtran los parámetros enviados por el formulario de entrada del usuario, cualquier usuario con permiso de fondo puede afectar a la seguridad del sistema introduciendo código malicioso
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2022

Vulnerabilidad en el procesamiento de los mensajes SOAP en los routers NETGEAR XR1000 (CVE-2021-34870)
Fecha de publicación:
25/01/2022
Idioma:
Español
Esta vulnerabilidad permite a atacantes adyacentes a la red revelar información confidencial en las instalaciones afectadas de los routers NETGEAR XR1000 versión 1.0.0.52_1.0.38. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta en el procesamiento de los mensajes SOAP. El problema resulta de la falta de autenticación requerida para una petición privilegiada. Un atacante puede aprovechar esta vulnerabilidad para revelar las credenciales almacenadas, conllevando a un mayor compromiso. Fue ZDI-CAN-13325
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/01/2022
Suscribirse a Vulnerabilidades