Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en NukeViet CMS (CVE-2022-30874)
Fecha de publicación:
21/06/2022
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross Site Scripting almacenado (XSS) en NukeViet CMS versiones anteriores a 4.5.02
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2022

Vulnerabilidad en un archivo de auditoría (CVE-2022-32974)
Fecha de publicación:
21/06/2022
Idioma:
Español
Un atacante autenticado podría leer archivos arbitrarios del sistema operativo subyacente del escáner usando un archivo de auditoría de cumplimiento diseñado a medida sin proporcionar ninguna credencial SSH válida
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en los archivos adjuntos de entrada en Devolutions Remote Desktop Manager (CVE-2022-33995)
Fecha de publicación:
21/06/2022
Idioma:
Español
Un problema de salto de ruta en los archivos adjuntos de entrada en Devolutions Remote Desktop Manager versiones anteriores a 2022.2, permite a atacantes crear o sobrescribir archivos en una ubicación arbitraria
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en IdeaLMS/Class/Assessment/ PATH_INFO en IdeaLMS (CVE-2022-31786)
Fecha de publicación:
21/06/2022
Idioma:
Español
IdeaLMS versión 2022 permite un ataque de tipo Cross Site Scripting (XSS) reflejado por medio de IdeaLMS/Class/Assessment/ PATH_INFO
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en las comprobaciones del cmdlet de PowerShell en un archivo de auditoría (CVE-2022-32973)
Fecha de publicación:
21/06/2022
Idioma:
Español
Un atacante autenticado podría crear un archivo de auditoría que omita las comprobaciones del cmdlet de PowerShell y ejecute comandos con privilegios de administrador
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en Comodo Antivirus (CVE-2022-34008)
Fecha de publicación:
21/06/2022
Idioma:
Español
Comodo Antivirus versión 12.2.2.8012, presenta un fallo de cuarentena que permite una escalada de privilegios. Para escalar privilegios, un atacante con pocos privilegios puede usar una unión de directorios NTFS para restaurar una DLL maliciosa de la cuarentena a la carpeta System32
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en el script c_rehash en OpenSSL (CVE-2022-2068)
Fecha de publicación:
21/06/2022
Idioma:
Español
Además de una inyección de comandos de shell c_rehash identificada en CVE-2022-1292, se encontraron otras circunstancias en las que el script c_rehash no sanea adecuadamente los metacaracteres de shell para evitar la inyección de comandos mediante la revisión del código. Cuando fue corregida la CVE-2022-1292 no ha sido detectado que se presentan otros lugares en el script en los que los nombres de archivo de los certificados a los que es aplicado el hash son pasados posiblemente a un comando ejecutado mediante el shell. Este script es distribuido por algunos sistemas operativos de manera que es ejecutado automáticamente. En dichos sistemas operativos, un atacante podría ejecutar comandos arbitrarios con los privilegios del script. El uso del script c_rehash es considerado obsoleto y debe ser sustituido por la herramienta de línea de comandos OpenSSL rehash. Corregido en OpenSSL versión 3.0.4 (Afectados 3.0.0,3.0.1,3.0.2,3.0.3). Corregido en OpenSSL versión 1.1.1p (Afectado 1.1.1-1.1.1o). Corregido en OpenSSL versión 1.0.2zf (Afectado 1.0.2-1.0.2ze)
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en Webkul krayin crm (CVE-2021-41924)
Fecha de publicación:
21/06/2022
Idioma:
Español
Webkul krayin crm versiones anteriores a 1.2.2, es vulnerable a un ataque de tipo Cross Site Scripting (XSS)
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en Spring Cloud Function (CVE-2022-22979)
Fecha de publicación:
21/06/2022
Idioma:
Español
Spring Cloud Function las versiones anteriores a 3.2.6, es posible que un usuario que interactúe directamente con la funcionalidad de búsqueda proporcionada por el framework cause una condición de denegación de servicio debido a un problema de almacenamiento en caché del componente Function Catalog del framework
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en AMQ Broker Operator (CVE-2022-1833)
Fecha de publicación:
21/06/2022
Idioma:
Español
Se ha encontrado un fallo en AMQ Broker Operator versión 7.9.4, instalado por medio de la interfaz de usuario usando OperatorHub, en el que un usuario poco privilegiado que presenta acceso al espacio de nombres donde es desplegado el AMQ Operator presenta acceso a los derechos de edición de todo el clúster mediante la comprobación de los secretos. La cuenta de servicio usada para construir el Operador da más permisos de los esperados y un atacante podría beneficiarse de ello. Esto requiere al menos una cuenta de bajo privilegio ya comprometida o un ataque interno
Gravedad CVSS v3.1: ALTA
Última modificación:
29/06/2022

Vulnerabilidad en el módem Quectel RG502Q-EA (CVE-2022-26147)
Fecha de publicación:
21/06/2022
Idioma:
Español
El módem Quectel RG502Q-EA versiones anteriores a 23-02-2022, permite una Inyección de Comandos del Sistema Operativo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/06/2022

Vulnerabilidad en ABB REX640 PCL1, REX640 PCL2, REX640 PCL3 (CVE-2022-1596)
Fecha de publicación:
21/06/2022
Idioma:
Español
Una vulnerabilidad de Asignación incorrecta de permisos para recursos críticos en ABB REX640 PCL1, REX640 PCL2, REX640 PCL3 permite a un atacante autenticado lanzar un ataque contra el archivo de la base de datos del usuario e intentar tomar el control de un nodo del sistema afectado
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/06/2022
Suscribirse a Vulnerabilidades