Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Nextcloud server (CVE-2021-41239)
Fecha de publicación:
08/03/2022
Idioma:
Español
Nextcloud server es un sistema auto-alojado diseñado para proporcionar servicios de estilo en la nube. En las versiones afectadas, la API de estado de usuario no tenía en cuenta la configuración de enumeración de usuarios por parte del administrador. Esto permitía a un usuario enumerar a otros usuarios en la instancia, incluso cuando los listados de usuarios estaban deshabilitados. Es recomendado actualizar el servidor Nextcloud a versiones 20.0.14, 21.0.6 o 22.2.1. No se presentan medidas de mitigación conocidas
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2022

Vulnerabilidad en el repositorio GitHub bookstackapp/bookstack (CVE-2022-0877)
Fecha de publicación:
08/03/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Almacenado en el repositorio GitHub bookstackapp/bookstack versiones anteriores a v22.02.3
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2022

Vulnerabilidad en el binario sc SUID en SINUMERIK MC, SINUMERIK ONE (CVE-2022-24408)
Fecha de publicación:
08/03/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en SINUMERIK MC (Todas las versiones anteriores a la versión V1.15 SP1), SINUMERIK ONE (Todas las versiones anteriores a la versión V6.15 SP1). El binario sc SUID en los dispositivos afectados proporciona varios comandos que se utilizan para ejecutar comandos del sistema o modificar archivos del sistema. Un conjunto específico de operaciones utilizando sc podría permitir a los atacantes locales escalar sus privilegios a root
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2022

Vulnerabilidad en el archivo starview+.exe en Simcenter STAR-CCM+ Viewer (CVE-2022-24661)
Fecha de publicación:
08/03/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Simcenter STAR-CCM+ Viewer (Todas las versiones anteriores a la versión V2022.1). El starview+.exe contiene una vulnerabilidad de corrupción de memoria al analizar archivos .SCE especialmente diseñados. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2022

Vulnerabilidad en el módulo Mendix Forgot Password Appstore (CVE-2022-26313)
Fecha de publicación:
08/03/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en el módulo Mendix Forgot Password Appstore (Todas las versiones posteriores a V3.3.0 incluyéndola, anteriores a V3.5.1). En determinadas configuraciones del producto afectado, un actor de amenaza podría usar el flujo de registro para secuestrar cuentas de usuario arbitrarias
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/03/2022

Vulnerabilidad en el módulo Mendix Forgot Password Appstore (CVE-2022-26314)
Fecha de publicación:
08/03/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en el módulo Mendix Forgot Password Appstore (Todas las versiones posteriores a V3.3.0 incluyéndola, anteriores a V3.5.1), módulo Mendix Forgot Password Appstore (compatible con Mendix 7) (Todas las versiones anteriores a V3.2.2). Las contraseñas iniciales son generadas de forma no segura. Esto podría permitir a un atacante remoto no autenticado forzar eficazmente las contraseñas en situaciones específicas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/03/2022

Vulnerabilidad en las aplicaciones de Mendix usadas en Mendix 7 (CVE-2022-26317)
Fecha de publicación:
08/03/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en las aplicaciones de Mendix usadas en Mendix 7 (Todas las versiones anteriores a V7.23.29). Cuando es devuelto el resultado de una llamada de ejecución de Microflow completada, el framework afectado no verifica correctamente, si la petición fue realizada inicialmente por el usuario que solicita el resultado. Junto con los identificadores predecibles para las llamadas de ejecución de Microflow, esto podría permitir a un atacante malicioso recuperar información sobre llamadas de ejecución de Microflow arbitrarias realizadas por usuarios dentro del sistema afectado
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/07/2023

Vulnerabilidad en las aplicaciones de Mendix que usan Mendix 7, las aplicaciones de Mendix que usan Mendix 8 y las aplicaciones de Mendix que usan Mendix 9 (CVE-2022-24309)
Fecha de publicación:
08/03/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en las aplicaciones de Mendix que utilizan Mendix 7 (todas las versiones anteriores a V7.23.29), las aplicaciones de Mendix que utilizan Mendix 8 (todas las versiones anteriores a V8.18.16) y las aplicaciones de Mendix que utilizan Mendix 9 (todas las implementaciones con la configuración personalizada del tiempo de ejecución *DataStorage.UseNewQueryHandler* establecida en False). Si una entidad tiene una asociación legible por el usuario, en algunos casos, Mendix Runtime puede no aplicar las comprobaciones de las restricciones XPath que analizan dichas asociaciones, dentro de las aplicaciones que se ejecutan en las versiones afectadas. Un usuario malintencionado podría utilizar esto para volcar y manipular datos sensibles
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/05/2025

Vulnerabilidad en SINEC NMS (CVE-2022-25311)
Fecha de publicación:
08/03/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en SINEC NMS (Todas las versiones anteriores a la versión V1.0.3), SINEC NMS (Todas las versiones posteriores o iguales a la versión V1.0.3). El software afectado no comprueba adecuadamente los privilegios entre usuarios durante la misma sesión del navegador web, creando una esfera de control no intencionada. Esto podría permitir a un usuario autentificado con pocos privilegios conseguir una escalada de privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
10/10/2023

Vulnerabilidad en SINEC NMS (CVE-2022-24281)
Fecha de publicación:
08/03/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en SINEC NMS (Todas las versiones anteriores a la versión V1.0.3). Un atacante autentificado con privilegios podría ejecutar comandos arbitrarios en la base de datos local enviando peticiones especialmente diseñadas al servidor web de la aplicación afectada
Gravedad CVSS v3.1: ALTA
Última modificación:
14/03/2023

Vulnerabilidad en SINEC NMS (CVE-2022-24282)
Fecha de publicación:
08/03/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en SINEC NMS (Todas las versiones anteriores a la versión V1.0.3), SINEC NMS (Todas las versiones posteriores o iguales a la versión V1.0.3). El sistema afectado permite cargar objetos JSON que son deserializados a objetos Java. Debido a la deserialización insegura del contenido suministrado por el usuario por el software afectado, un atacante privilegiado podría explotar esta vulnerabilidad mediante el envío de un objeto Java serializado maliciosamente diseñado. Esto podría permitir al atacante ejecutar código arbitrario en el dispositivo con privilegios de root
Gravedad CVSS v3.1: ALTA
Última modificación:
10/10/2023

Vulnerabilidad en SVN WebClient en Polarion Subversion Webclient (CVE-2021-44478)
Fecha de publicación:
08/03/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Polarion ALM (Todas las versiones anteriores a V21 R2 P2), Polarion WebClient para SVN (Todas las versiones). Existe un cross-site scripting debido a una incorrecta neutralización de los datos enviados a la página web a través del SVN WebClient en el producto afectado. Un atacante podría explotar esto para ejecutar código arbitrario y extraer información sensible enviando un enlace especialmente diseñado a usuarios con privilegios de administrador
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/07/2022
Suscribirse a Vulnerabilidades