Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Subrion CMS (CVE-2021-43464)
Fecha de publicación:
04/04/2022
Idioma:
Español
Se presenta una vulnerabilidad de Ejecución de Código Remoto (RCE) en Subrion CMS versión 4.2.1, por medio de código modificado en un campo de fondo; cuando la información es modificada, los datos en ella serán ejecutados mediante eval()
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2022

Vulnerabilidad en el repositorio de GitHub janeczku/calibre-web (CVE-2022-0990)
Fecha de publicación:
04/04/2022
Idioma:
Español
Una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el repositorio de GitHub janeczku/calibre-web versiones anteriores a 0.6.18
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/11/2024

Vulnerabilidad en Twisted (CVE-2022-24801)
Fecha de publicación:
04/04/2022
Idioma:
Español
Twisted es un marco de trabajo basado en eventos para aplicaciones de Internet, que soporta Python versión 3.6+. versiones hasta 22.4.0rc1, el servidor Twisted Web HTTP 1.1, ubicado en el módulo "twisted.web.http", analizaba varias construcciones de peticiones HTTP de forma más indulgente de lo permitido por el RFC 7230. Este análisis no conforme puede conllevar a una desincronización si las peticiones pasan por varios analizadores HTTP, resultando potencialmente en un contrabando de peticiones HTTP. Los usuarios que pueden verse afectados usan el servidor y/o proxy HTTP versión 1.1 de Twisted Web y también pasan peticiones mediante un servidor y/o proxy HTTP diferente. El cliente de Twisted Web no está afectado. El servidor HTTP versión 2.0 usa un parser diferente, por lo que no está afectado. El problema ha sido abordado en Twisted 22.4.0rc1. Se presentan dos medidas de mitigación disponibles: Asegurarse de que ha sido abordada cualquier vulnerabilidad en los proxies de subida, por ejemplo, actualizándolos; o filtrar las peticiones malformadas por otros medios, como la configuración de un proxy de subida
Gravedad CVSS v3.1: ALTA
Última modificación:
25/11/2024

Vulnerabilidad en CreateWiki (CVE-2022-24813)
Fecha de publicación:
04/04/2022
Idioma:
Español
CreateWiki es la extensión MediaWiki de Miraheze para solicitar y crear wikis. Sin el parche para este problema, pueden hacerse comentarios anónimos usando Special:RequestWikiQueue cuando son enviados directamente por medio de POST. Un parche para este problema está disponible en la rama "master" del repositorio GitHub de CreateWiki
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/06/2023

Vulnerabilidad en Vyper (CVE-2022-24787)
Fecha de publicación:
04/04/2022
Idioma:
Español
Vyper es un Lenguaje de Contratos Inteligentes de Python para la Máquina Virtual de Ethereum. En versiones 0.3.1 y anteriores, las cadenas de bytes pueden presentar bytes sucios, resultando en que las comparaciones palabra por palabra den resultados incorrectos. Incluso sin bytes sucios distintos de cero, dos bytestrings pueden compararse como iguales si uno termina con "\x00" porque no se presenta comparación de la longitud. Se presenta un parche disponible y es esperado que forme parte de la versión 0.3.2. Actualmente no se presentan medidas de mitigación conocidas
Gravedad CVSS v3.1: ALTA
Última modificación:
02/08/2023

Vulnerabilidad en los paquetes en $files = Dir::getList($decompath. "/ Upload/Plugins / en HisiPHP (CVE-2020-28062)
Fecha de publicación:
04/04/2022
Idioma:
Español
Se presenta una vulnerabilidad de Control de Acceso en HisiPHP versión 2.0.11, por medio de paquetes especiales que son construidos en $files = Dir::getList($decompath. "/ Upload/Plugins /, lo que podría permitir a un usuario remoto malicioso ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2022

Vulnerabilidad en Moment.js (CVE-2022-24785)
Fecha de publicación:
04/04/2022
Idioma:
Español
Moment.js es una librería de fechas en JavaScript para analizar, comprobar, manipular y formatear fechas. Una vulnerabilidad de salto de ruta afecta a usuarios de npm (servidor) de Moment.js entre las versiones 1.0.1 y 2.29.1, especialmente si es usada directamente una cadena de configuración regional proporcionada por el usuario para cambiar la configuración regional de Moment. Este problema está parcheado en la versión 2.29.2, y el parche puede aplicarse a todas las versiones afectadas. Como medida de mitigación, sanee el nombre de la configuración regional proporcionada por el usuario antes de pasarlo a Moment.js
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en el tema Noo JobMonster de WordPress (CVE-2022-1170)
Fecha de publicación:
04/04/2022
Idioma:
Español
En el tema Noo JobMonster de WordPress versiones anteriores a 4.5.2.9, JobMonster se presenta una vulnerabilidad de tipo XSS como la entrada para el formulario de búsqueda es proporcionada mediante peticiones GET sin sanear
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2022

Vulnerabilidad en Careerfy (CVE-2022-1169)
Fecha de publicación:
04/04/2022
Idioma:
Español
Se presenta una vulnerabilidad de tipo XSS en Careerfy
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2022

Vulnerabilidad en el plugin JobSearch WP JobSearch de WordPress (CVE-2022-1168)
Fecha de publicación:
04/04/2022
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross-Site Scripting en el plugin JobSearch WP JobSearch de WordPress versiones anteriores a 1.5.1
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2022

Vulnerabilidad en los parámetros filter en el tema CareerUp Careerup de WordPress (CVE-2022-1167)
Fecha de publicación:
04/04/2022
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross-Site Scripting (XSS) Reflejado sin autenticación en el tema CareerUp Careerup de WordPress versiones hasta 2.3.1, por medio de los parámetros filter
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el atributo selected_icons del cnss_widget en el plugin Easy Social Icons de WordPress (CVE-2022-0887)
Fecha de publicación:
04/04/2022
Idioma:
Español
El plugin Easy Social Icons de WordPress versiones hasta 3.1.4, no sanea el atributo selected_icons del cnss_widget antes de usarlo en una sentencia SQL, conllevando a una vulnerabilidad de inyección SQL
Gravedad CVSS v3.1: ALTA
Última modificación:
11/04/2022
Suscribirse a Vulnerabilidades