Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Componente de servicio SUT de Schneider Electric Software Update (SESU) (CVE-2019-6834)
Fecha de publicación:
13/04/2022
Idioma:
Español
Una CWE-502: Se presenta una vulnerabilidad de Deserialización de Datos no Confiables que podría permitir a un atacante ejecutar código arbitrario en el sistema objetivo con privilegios SYSTEM cuando es colocado un usuario malicioso para ser autenticado para que esta vulnerabilidad sea explotada con éxito. Producto afectado: Componente de servicio SUT de Schneider Electric Software Update (SESU) (versiones V2.1.1 a V2.3.0)
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2022

Vulnerabilidad en StruxureWare Data Center Expert (CVE-2021-22794)
Fecha de publicación:
13/04/2022
Idioma:
Español
Una CWE-22: Se presenta una vulnerabilidad de Limitación de un Nombre de Ruta a un Directorio Restringido ("Salto de Ruta ") que podría causar una ejecución de código remota. Producto afectado: StruxureWare Data Center Expert (versiones V7.8.1 y anteriores)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2022

Vulnerabilidad en StruxureWare Data Center Expert (CVE-2021-22795)
Fecha de publicación:
13/04/2022
Idioma:
Español
Una CWE-78: Se presenta una vulnerabilidad de Neutralización Inapropiada de Elementos Especiales Usados en un Comando del Sistema Operativo (" Inyección de Comandos del Sistema Operativo") que podría causar una ejecución de código remota cuando es llevado a cabo a través de la red. Producto afectado: StruxureWare Data Center Expert (versiones V7.8.1 y anteriores)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2022

Vulnerabilidad en la funcionalidad Missing Data Codes de REDCap (CVE-2021-42136)
Fecha de publicación:
13/04/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenada en la funcionalidad Missing Data Codes de REDCap versión 11.2.5, permite a atacantes remotos ejecutar código JavaScript en el navegador del cliente al almacenar dicho código como un valor de código de datos perdidos. Esto puede ser aprovechado para ejecutar un ataque de tipo Cross-Site Request Forgery para escalar privilegios a administrador
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/04/2022

Vulnerabilidad en SCADAPack Workbench (CVE-2022-0221)
Fecha de publicación:
13/04/2022
Idioma:
Español
Una CWE-611: Se presenta una vulnerabilidad de Restricción Inapropiada de la referencia de tipo XML External Entity que podría resultar en una divulgación de información cuando es abierto un archivo de solución malicioso proporcionado por un atacante con SCADAPack Workbench. Esto podría ser explotado para pasar datos de archivos locales a un sistema remoto controlado por un atacante. Producto afectado: SCADAPack Workbench (versiones 6.6.8a y anteriores)
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/04/2022

Vulnerabilidad en un archivo de proyecto en el software de ingeniería en EcoStruxure Control Expert, EcoStruxure Process Expert, SCADAPack RemoteConnect para x70 (CVE-2021-22797)
Fecha de publicación:
13/04/2022
Idioma:
Español
Una CWE-22: Se presenta una vulnerabilidad de Limitación inadecuada de un nombre de ruta a un directorio restringido (" Salto de Ruta") que podría causar la implementación de scripts maliciosos en una ubicación no autorizada y puede resultar en una ejecución de código en la estación de trabajo de ingeniería cuando es cargado un archivo de proyecto malicioso en el software de ingeniería. Producto afectado: EcoStruxure Control Expert (versiones V15.0 SP1 y anteriores, incluido el antiguo Unity Pro), EcoStruxure Process Expert (versiones 2020 y anteriores, incluido el antiguo HDCS), SCADAPack RemoteConnect para x70 (Todas las versiones)
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2022

Vulnerabilidad en el archivo mailcap del sistema en Python (CVE-2015-20107)
Fecha de publicación:
13/04/2022
Idioma:
Español
En Python (también conocido como CPython) hasta la versión 3.10.8, el módulo mailcap no añade caracteres de escape en los comandos descubiertos en el archivo mailcap del sistema. Esto puede permitir a los atacantes inyectar comandos de shell en aplicaciones que llamen a mailcap.findmatch con entradas no confiables (si carecen de validación de los nombres de archivos o argumentos proporcionados por el usuario). La corrección también se ha aplicado a las versiones 3.7, 3.8 y 3.9
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en la API /common/upload en el archivo cn/roothub/store/FileSystemStorageService en la función store en Roothub (CVE-2022-28052)
Fecha de publicación:
13/04/2022
Idioma:
Español
Una vulnerabilidad de Salto de Directorio en el archivo cn/roothub/store/FileSystemStorageService en la función store en Roothub versión 2.6.0, permite a atacantes remotos con bajo privilegio cargar arbitrariamente archivos por medio de la API /common/upload, lo que podría conllevar a una ejecución de código remota arbitraria
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2022

Vulnerabilidad en el módulo de autenticación de wizplat PD065 (CVE-2021-46167)
Fecha de publicación:
13/04/2022
Idioma:
Español
Un problema de control de acceso en el módulo de autenticación de wizplat PD065 versión v1.19, permite a atacantes acceder a datos confidenciales y causar una Denegación de Servicio (DoS)
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2022

Vulnerabilidad en MantisBT (CVE-2022-26144)
Fecha de publicación:
13/04/2022
Idioma:
Español
Se ha detectado un problema de tipo XSS en MantisBT versiones anteriores a 2.25.3. Un escape inapropiado del nombre de un plugin permite una ejecución de código arbitrario (si CSP lo permite) en los archivos manage_plugin_page.php y manage_plugin_uninstall.php cuando es instalado un plugin diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2022

Vulnerabilidad en EasyIO CPT Graphics (CVE-2022-26643)
Fecha de publicación:
13/04/2022
Idioma:
Español
Un problema en EasyIO CPT Graphics versión v0.8, permite a atacantes detectar usuarios válidos en la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2022

Vulnerabilidad en el parámetro rpath en Hubzilla (CVE-2022-27256)
Fecha de publicación:
13/04/2022
Idioma:
Español
Una vulnerabilidad de redireccionamiento abierto en Hubzilla versiones anteriores a 7.2, permite a atacantes remotos redirigir a un usuario conectado a una URL arbitraria por medio del parámetro rpath
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2022
Suscribirse a Vulnerabilidades