Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el repositorio de GitHub crater-invoice/crater (CVE-2022-0203)
Fecha de publicación:
26/01/2022
Idioma:
Español
Un Control de Acceso Inapropiado en el repositorio de GitHub crater-invoice/crater versiones anteriores a 6.0.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/02/2022

Vulnerabilidad en Conda vim (CVE-2022-0361)
Fecha de publicación:
26/01/2022
Idioma:
Español
Un desbordamiento de búfer basado en Heap en el repositorio de GitHub vim/vim anterior a 8.2
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en Conda vim (CVE-2022-0359)
Fecha de publicación:
26/01/2022
Idioma:
Español
Un desbordamiento de búfer basado en Heap en el repositorio de GitHub vim/vim anterior a 8.2
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en los archivos ecrire/public/balises.php, ecrire/balise/formulaire_.php en SPIP (CVE-2021-44122)
Fecha de publicación:
26/01/2022
Idioma:
Español
SPIP versión 4.0.0 está afectado por una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en los archivos ecrire/public/aiguiller.php, ecrire/public/balises.php, ecrire/balise/formulaire_.php. Para explotar la vulnerabilidad, un visitante debe visitar un sitio web malicioso que redirija al sitio web de SPIP. También es posible combinar las vulnerabilidades de tipo XSS de SPIP versión 4.0.0 para explotarla. La vulnerabilidad permite a un atacante autenticado ejecutar código malicioso sin el conocimiento del usuario en el sitio web (CSRF)
Gravedad CVSS v3.1: ALTA
Última modificación:
02/02/2022

Vulnerabilidad en SPIP (CVE-2021-44123)
Fecha de publicación:
26/01/2022
Idioma:
Español
SPIP versión 4.0.0 está afectado por una vulnerabilidad de ejecución remota de comandos. Para explotar la vulnerabilidad, un atacante debe diseñar una imagen maliciosa con doble extensión, subirla y luego hacer clic en ella para ejecutarla
Gravedad CVSS v3.1: ALTA
Última modificación:
02/02/2022

Vulnerabilidad en el archivo ecrire/public/interfaces.php en SPIP (CVE-2021-44120)
Fecha de publicación:
26/01/2022
Idioma:
Español
SPIP versión 4.0.0 está afectado por una vulnerabilidad de tipo Cross Site Scripting (XSS) en el archivo ecrire/public/interfaces.php, que añade la función safehtml a los campos vulnerables. Un editor es capaz de modificar su información personal. Si el editor presenta un artículo escrito y disponible, cuando un usuario vaya al sitio público y quiera leer la información del autor, será ejecutado el código malicioso. Los campos "Who are you" y "Website Name" son vulnerables
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2022

Vulnerabilidad en un archivo SVG en SPIP (CVE-2021-44118)
Fecha de publicación:
26/01/2022
Idioma:
Español
SPIP versión 4.0.0 está afectado por una vulnerabilidad de tipo Cross Site Scripting (XSS). Para explotar la vulnerabilidad, un visitante debe navegar a un archivo SVG malicioso. La vulnerabilidad permite a un atacante autenticado inyectar código malicioso ejecutado en el lado del cliente en las páginas web visitadas por otros usuarios (XSS almacenado)
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2022

Vulnerabilidad en los comandos de Apache Karaf obr:* y el objetivo de ejecución en el karaf-maven-plugin (CVE-2022-22932)
Fecha de publicación:
26/01/2022
Idioma:
Español
Los comandos de Apache Karaf obr:* y el objetivo de ejecución en el karaf-maven-plugin tienen un salto de ruta parcial que permite salirse de la carpeta esperada. El riesgo es bajo ya que los comandos obr:* no son muy usados y la entrada es establecida por el usuario. Esto ha sido corregido en la revisión: https://gitbox.apache.org/repos/asf?p=karaf.git;h=36a2bc4 https://gitbox.apache.org/repos/asf?p=karaf.git;h=52b70cf Mitigación: Los usuarios de Apache Karaf deben actualizar a versiones 4.2.15 o 4.3.6 o posteriores lo antes posible, o usar la ruta correcta. Entradas de JIRA: https://issues.apache.org/jira/browse/KARAF-7326
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2022

Vulnerabilidad en Apache Karaf (CVE-2021-41766)
Fecha de publicación:
26/01/2022
Idioma:
Español
Apache Karaf permite la monitorización de aplicaciones y del runtime de Java mediante el uso de las Extensiones de Administración de Java (JMX). JMX es una tecnología basada en Java RMI que es basada en objetos serializados de Java para la comunicación cliente-servidor. Mientras que la implementación por defecto de JMX está reforzada contra ataques de deserialización no autenticados, la implementación usada por Apache Karaf no está protegida contra este tipo de ataques. El impacto de las vulnerabilidades de deserialización de Java depende en gran medida de las clases disponibles en la ruta de clases del objetivo. En general, la deserialización de datos no confiables siempre representa un alto riesgo de seguridad y debe ser prevenida. El riesgo es bajo ya que, por defecto, Karaf usa un conjunto limitado de clases en la ruta de clases del servidor JMX. Depende de las clases de ámbito del sistema (por ejemplo, jar en la carpeta lib)
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2022

Vulnerabilidad en el repositorio de GitHub pimcore/pimcore (CVE-2022-0251)
Fecha de publicación:
26/01/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Almacenado en el repositorio de GitHub pimcore/pimcore versiones anteriores a 10.2.10
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2022

Vulnerabilidad en Packagist remdex/livehelperchat (CVE-2022-0375)
Fecha de publicación:
26/01/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Almacenado en Packagist remdex/livehelperchat versiones anteriores a 3.93v
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2022

Vulnerabilidad en Packagist remdex/livehelperchat (CVE-2022-0374)
Fecha de publicación:
26/01/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Almacenado en Packagist remdex/livehelperchat versiones anteriores a 3.93v
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/02/2022
Suscribirse a Vulnerabilidades