Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2021-22690
Fecha de publicación:
03/03/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2021. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2021-22691
Fecha de publicación:
03/03/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2021. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2021-22692
Fecha de publicación:
03/03/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2021. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2021-22693
Fecha de publicación:
03/03/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2021. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2021-22694
Fecha de publicación:
03/03/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2021. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2021-22695
Fecha de publicación:
03/03/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2021. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en Data Preview Pane (CVE-2022-23710)
Fecha de publicación:
03/03/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de tipo cross-site-scripting (XSS) en Data Preview Pane (anteriormente conocido como Index Pattern Preview Pane) que podría permitir una ejecución de JavaScript arbitrario en el navegador de una víctima
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/04/2022

Vulnerabilidad en el repositorio de GitHub hazelcast/hazelcast (CVE-2022-0265)
Fecha de publicación:
03/03/2022
Idioma:
Español
Restricción inadecuada de la referencia de entidad externa XML en el repositorio GitHub hazelcast/hazelcast en 5.1-BETA-1
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/04/2022

Vulnerabilidad en el motor ClairCore de Clair (CVE-2021-3762)
Fecha de publicación:
03/03/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad de salto de directorio en el motor ClairCore de Clair. Un atacante puede explotar esto al suministrar una imagen de contenedor diseñada que, cuando es escaneada por Clair, permite una escritura de archivos arbitrarios en el sistema de archivos, permitiendo potencialmente una ejecución de código remota
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/01/2023

Vulnerabilidad en el uso de memoria hugetlbfs del kernel de Linux (CVE-2021-4002)
Fecha de publicación:
03/03/2022
Idioma:
Español
Se encontró un fallo de pérdida de memoria en el uso de memoria hugetlbfs del kernel de Linux en la forma en que el usuario mapea algunas regiones de memoria dos veces usando shmget() que están alineadas a la alineación PUD con el fallo de algunas de las páginas de memoria. Un usuario local podría usar este fallo para conseguir acceso no autorizado a algunos datos
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/02/2023

Vulnerabilidad en el endpoint del Actuador de la Puerta de Enlace en spring cloud gateway (CVE-2022-22947)
Fecha de publicación:
03/03/2022
Idioma:
Español
En spring cloud gateway versiones anteriores a 3.1.1+ y a 3.0.7+ , las aplicaciones son vulnerables a un ataque de inyección de código cuando el endpoint del Actuador de la Puerta de Enlace está habilitado, expuesto y sin seguridad. Un atacante remoto podría realizar una petición maliciosamente diseñada que podría permitir una ejecución remota arbitraria en el host remoto
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/10/2025

Vulnerabilidad en Shescape (CVE-2022-24725)
Fecha de publicación:
03/03/2022
Idioma:
Español
Shescape es un paquete de escape de shell para JavaScript. Un problema en las versiones 1.4.0 a 1.5.1 permite una exposición del directorio de inicio en los sistemas Unix cuando es usada Bash con las funciones "escape" o "escapeAll' de la API _shescape_ con la opción "interpolation" establecida en "true". Otros shells probados, Dash y Zsh, no están afectados. Dependiendo de cómo es usada la salida de _shescape_, puede ser posible un salto de directorio en la aplicación que usa _shescape_. El problema fue parcheado en la versión 1.5.1. Como medida de mitigación, escape manualmente todas las instancias del carácter tilde ("~") usando "arg.replace(/~/g, "\~~")`
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/06/2023
Suscribirse a Vulnerabilidades