Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el formulario de código de cupones en Shopware (CVE-2022-24746)
Fecha de publicación:
09/03/2022
Idioma:
Español
Shopware es una plataforma de comercio abierta basada en el framework php Symfony y el framework javascript Vue. En las versiones afectadas es posible inyectar código por medio del formulario de código de cupones. Este problema ha sido parcheado en la versión 6.4.8.1. No se presentan medidas de mitigación conocidas para este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2022

Vulnerabilidad en las sesiones de invitados en Shopware (CVE-2022-24745)
Fecha de publicación:
09/03/2022
Idioma:
Español
Shopware es una plataforma de comercio abierta basada en el framework php Symfony y el framework javascript Vue. En las versiones afectadas, las sesiones de invitados son compartidas entre clientes cuando la caché HTTP está habilitada. Esto puede conllevar a experiencias inconsistentes para usuarios invitados. Las configuraciones con Varnish no están afectadas por este problema. Este problema ha sido resuelto en la versión 6.4.8.2. Los usuarios que no puedan actualizar deberán deshabilitar la caché HTTP
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2022

Vulnerabilidad en Shopware (CVE-2022-24748)
Fecha de publicación:
09/03/2022
Idioma:
Español
Shopware es una plataforma de comercio abierto basada en el framework php Symfony y el framework javascript Vue. En versiones anteriores a 6.4.8.2, es posible modificar clientes y crear pedidos sin el permiso de la aplicación. Este problema es el resultado de una comprobación inapropiada de la ruta de la API. Es recomendado a usuarios actualizar a versión 6.4.8.2. No se presentan medidas de mitigación conocidas
Gravedad CVSS v3.1: ALTA
Última modificación:
23/06/2023

Vulnerabilidad en los encabezados HTTP en Shopware (CVE-2022-24747)
Fecha de publicación:
09/03/2022
Idioma:
Español
Shopware es una plataforma de comercio abierta basada en el framework php Symfony y el framework javascript Vue. Las versiones afectadas de shopware no configuran correctamente los encabezados HTTP confidenciales para que no sean almacenadas en caché. Si se presenta una caché HTTP entre el servidor y el cliente, los encabezados pueden quedar expuestos por medio de las cachés HTTP. Este problema ha sido resuelto en la versión 6.4.8.2. No se presentan medidas de mitigación conocidas
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2023

Vulnerabilidad en Ritto Wiser Door (CVE-2021-22783)
Fecha de publicación:
09/03/2022
Idioma:
Español
Una CWE-200: Se presenta una vulnerabilidad de Exposición de Información que podría permitir un secuestro de sesión cuando el panel de la puerta se está comunicando con la puerta. Producto afectado: Ritto Wiser Door (Todas las versiones)
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2022

Vulnerabilidad en EcoStruxure Control Expert (CVE-2022-24322)
Fecha de publicación:
09/03/2022
Idioma:
Español
Una CWE-119: Se presenta una vulnerabilidad de Restricción Inapropiada de las Operaciones dentro de los límites de un Búfer de Memoria que podría causar una interrupción de la comunicación entre el controlador Modicon y el software de ingeniería cuando un atacante es capaz de interceptar y manipular datos de respuesta Modbus específicos. Producto afectado: EcoStruxure Control Expert (versiones V15.0 SP1 y anteriores)
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2022

Vulnerabilidad en EcoStruxure Process Expert, EcoStruxure Control Expert (CVE-2022-24323)
Fecha de publicación:
09/03/2022
Idioma:
Español
Una CWE-754: Se presenta una vulnerabilidad de Comprobación Inapropiada de Condiciones no Usuales o Excepcionales que podría causar una interrupción de la comunicación entre el controlador Modicon y el software de ingeniería, cuando un atacante es capaz de interceptar y manipular datos de respuesta Modbus específicos. Producto afectado: EcoStruxure Process Expert (versiones V2021 y anteriores), EcoStruxure Control Expert (versiones V15.0 SP1 y anteriores)
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2022

Vulnerabilidad en las sesiones de usuarios en Shopware (CVE-2022-24744)
Fecha de publicación:
09/03/2022
Idioma:
Español
Shopware es una plataforma de comercio abierto basada en el Framework php Symfony y el framework javascript Vue. En las versiones afectadas, las sesiones de usuarios no son cerradas si es restablecida la contraseña por medio de la recuperación de la misma. Este problema ha sido resuelto en versión 6.4.8.1. Para las versiones más antiguas de 6.1, 6.2 y 6.3, las medidas de seguridad correspondientes también están disponibles por medio de un plugin
Gravedad CVSS v3.1: BAJA
Última modificación:
17/03/2022

Vulnerabilidad en el módulo de administración de configuraciones del CP de administración en MyBB (CVE-2022-24734)
Fecha de publicación:
09/03/2022
Idioma:
Español
MyBB es un software de foros gratuito y de código abierto. En las versiones afectadas, el módulo de gestión de configuraciones del CP de administración no valida correctamente los tipos de configuraciones en la inserción y actualización, lo que hace posible añadir configuraciones de tipo soportado `php` con código PHP, ejecutado en las páginas de _Cambio de Configuraciones_. Esto resulta en una vulnerabilidad de Ejecución Remota de Código (RCE). El módulo vulnerable requiere el acceso al CP de administrador con el permiso `Can manage settings?`. El módulo de configuración de MyBB, que permite a los administradores añadir, editar y eliminar configuraciones no predeterminadas, almacena los datos de configuración en una cadena de código de opciones ($options_code; columna de la base de datos mybb_settings.optionscode) que identifica el tipo de configuración y sus opciones, separadas por un carácter de nueva línea (\n). En MyBB 1.2.0, se añadió soporte para el tipo de configuración php, para el cual la parte restante del código de opciones es código PHP ejecutado en las páginas de cambio de configuración (reservado para plugins y uso interno). MyBB 1.8.30 resuelve este problema. No se presentan medidas de mitigación conocidas
Gravedad CVSS v3.1: ALTA
Última modificación:
30/09/2022

Vulnerabilidad en Nextcloud server (CVE-2022-24741)
Fecha de publicación:
09/03/2022
Idioma:
Español
El servidor Nextcloud es una plataforma de servicios de código abierto, de estilo de nube autoalojada. En las versiones afectadas, un atacante puede causar una denegación de servicio mediante la carga de archivos especialmente diseñados que harán que el servidor asigne demasiada memoria / CPU. Se recomienda actualizar el servidor Nextcloud a la versión 21.0.8 , 22.2.4 o 23.0.1. Los usuarios que no puedan actualizarse deberán desactivar la generación de vistas previas con la bandera de configuración `'enable_previews''
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2023

Vulnerabilidad en Maddy Mail Server (CVE-2022-24732)
Fecha de publicación:
09/03/2022
Idioma:
Español
Maddy Mail Server es un servidor de correo electrónico de código abierto compatible con SMTP. Las versiones de maddy anteriores a 0.5.4, no implementan la comprobación de la caducidad de la contraseña o de la cuenta cuando es autenticado usando PAM. Es recomendado a usuarios actualizar. Los usuarios que no puedan actualizarse deberán eliminar manualmente las cuentas caducadas por medio de los mecanismos de filtrado existentes
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2022

Vulnerabilidad en varias páginas de configuración del dispositivo (CVE-2022-22511)
Fecha de publicación:
09/03/2022
Idioma:
Español
Varias páginas de configuración del dispositivo son vulnerables a ataques de tipo XSS (Cross-Site Scripting) reflejados. Un atacante autorizado con privilegios de usuario puede usar esto para conseguir acceso a información confidencial en un PC que sea conectado al WBM después de haber sido comprometido
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2022
Suscribirse a Vulnerabilidades