Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el parámetro vehicalorcview en Sourcecodester Car Rental Management System (CVE-2021-46005)
Fecha de publicación:
18/01/2022
Idioma:
Español
Sourcecodester Car Rental Management System versión 1.0, es vulnerable a un ataque de tipo Cross Site Scripting (XSS) por medio del parámetro vehicalorcview
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/01/2022

Vulnerabilidad en la función TEE_Malloc de TrustZone en las distribuciones Linux de NVIDIA (CVE-2021-34405)
Fecha de publicación:
18/01/2022
Idioma:
Español
Las distribuciones Linux de NVIDIA contienen una vulnerabilidad en la función TEE_Malloc de TrustZone, en la que un valor de retorno no comprobado que causa una desreferencia de puntero null puede conllevar a una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en nvmap NVGPU_IOCTL_CHANNEL_SET_ERROR_NOTIFIER en las distribuciones del kernel de Linux de NVIDIA (CVE-2021-34401)
Fecha de publicación:
18/01/2022
Idioma:
Español
Las distribuciones del kernel de Linux de NVIDIA contienen una vulnerabilidad en nvmap NVGPU_IOCTL_CHANNEL_SET_ERROR_NOTIFIER, en la que un control de acceso inapropiado puede conllevar a una ejecución de código, un compromiso de la integridad o una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
25/01/2022

Vulnerabilidad en ioctl nvmap en las distribuciones de Linux de NVIDIA (CVE-2021-34403)
Fecha de publicación:
18/01/2022
Idioma:
Español
Las distribuciones de Linux de NVIDIA contienen una vulnerabilidad en la ioctl nvmap, que permite a cualquier usuario con una cuenta local explotar una condición de uso de memoria previamente liberada, conllevando a una escalada de privilegios del código, pérdida de confidencialidad e integridad o denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
25/01/2022

Vulnerabilidad en NVIDIA NVDEC en el controlador del kernel de NVIDIA Tegra (CVE-2021-34402)
Fecha de publicación:
18/01/2022
Idioma:
Español
El controlador del kernel de NVIDIA Tegra contiene una vulnerabilidad en NVIDIA NVDEC, por la que un usuario con altos privilegios podría leer o escribir en una ubicación de memoria que está fuera de límites previstos del búfer, lo que puede conllevar a una denegación de servicio, una revelación de información, una pérdida de integridad o una posible escalada de privilegios
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2022

Vulnerabilidad en el archivo ~/includes/xoo-framework/admin/class-xoo-admin-settings.php en la función save_settings en los plugins Login/Signup Popup, Waitlist Woocommerce (Back in stock notifier), y Side Cart Woocommerce (Ajax) de WordPress (CVE-2022-0215)
Fecha de publicación:
18/01/2022
Idioma:
Español
Los plugins Login/Signup Popup, Waitlist Woocommerce ( Back in stock notifier ), y Side Cart Woocommerce (Ajax) de WordPress son vulnerables a un ataque de tipo Cross-Site Request Forgery por medio de la función save_settings que es encontrada en el archivo ~/includes/xoo-framework/admin/class-xoo-admin-settings.php, lo que hace posible que atacantes actualicen opciones arbitrarias en un sitio que pueden ser usadas para crear una cuenta de usuario administrativo y conceder acceso privilegiado completo a un sitio comprometido. Esto afecta a versiones anteriores a 2.2 incluyéndola, en Login/Signup Popup, versiones anteriores a 2.5.1 incluyéndola, en Waitlist Woocommerce ( Back in stock notifier ), y versiones anteriores a 2.0 incluyéndola, en Side Cart Woocommerce (Ajax)
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2022

Vulnerabilidad en la Interfaz de Usuario de ReportCenter en NetMaster Network Management for TCP/IP y NetMaster File Transfer Management (CVE-2022-23083)
Fecha de publicación:
18/01/2022
Idioma:
Español
NetMaster versión 12.2 Network Management for TCP/IP y NetMaster File Transfer Management contienen una vulnerabilidad de tipo XSS (Cross-Site Scripting) en la Interfaz de Usuario de ReportCenter debido a una comprobación insuficiente de entrada que podría permitir a un atacante ejecutar código en la máquina afectada
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/01/2022

Vulnerabilidad en GitLab (CVE-2022-0154)
Fecha de publicación:
18/01/2022
Idioma:
Español
Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 7.7 anteriores a 14.4.5, a todas las versiones a partir de la 14.5.0 anteriores a 14.5.3, a todas las versiones a partir de la 14.6.0 anteriores a 14.6.2. GitLab era vulnerable a un ataque de tipo Cross-Site Request Forgery que permite a un usuario malicioso importar su proyecto de GitHub en otra cuenta de usuario de GitLab
Gravedad CVSS v3.1: ALTA
Última modificación:
26/01/2022

Vulnerabilidad en un elemento de configuración llamado "UmbracoApplicationUrl" en CMS Umbraco (CVE-2022-22690)
Fecha de publicación:
18/01/2022
Idioma:
Español
Dentro del CMS Umbraco, un elemento de configuración llamado "UmbracoApplicationUrl" (o simplemente "ApplicationUrl") es usado siempre que el código de la aplicación necesita construir una URL que apunte al sitio. Por ejemplo, cuando un usuario restablece su contraseña y la aplicación construye una URL de restablecimiento de contraseña o cuando el administrador invita a usuarios al sitio. Para las versiones de Umbraco inferiores a 9.2.0, si la URL de la aplicación no está configurada específicamente, el atacante puede manipular este valor y almacenarlo de forma persistente afectando a todos los usuarios de los componentes en los que es usado "UmbracoApplicationUrl". Por ejemplo, el atacante es capaz de cambiar la URL que reciben los usuarios al restablecer su contraseña para que apunte al servidor del atacante, cuando el usuario sigue este enlace el token de restablecimiento puede ser interceptado por el atacante resultando en la toma de la cuenta
Gravedad CVSS v3.1: ALTA
Última modificación:
26/01/2022

Vulnerabilidad en el componente de restablecimiento de contraseñas en Umbraco (CVE-2022-22691)
Fecha de publicación:
18/01/2022
Idioma:
Español
El componente de restablecimiento de contraseñas desplegado en Umbraco usa el nombre de host suministrado dentro del encabezado de host de la petición cuando construye una URL de restablecimiento de contraseñas. Puede ser posible manipular la URL enviada a usuarios de Umbraco cuando apunta al servidor del atacante, revelando así el token de restablecimiento de contraseña si/cuando es seguido el enlace. Una vulnerabilidad relacionada (CVE-2022-22690) podría permitir que este fallo se convierta en persistente, de modo que todas las URL de restablecimiento de contraseña estén afectadas persistentemente después de un ataque con éxito. Consulte el aviso de AppCheck para obtener más información y las advertencias asociadas
Gravedad CVSS v3.1: ALTA
Última modificación:
26/01/2022

Vulnerabilidad en GitLab CE/EE (CVE-2022-0244)
Fecha de publicación:
18/01/2022
Idioma:
Español
Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 14.5. Una lectura arbitraria de archivos era posible al importar un grupo debido a un manejo incorrecto del archivo
Gravedad CVSS v3.1: ALTA
Última modificación:
25/01/2022

Vulnerabilidad en algunos campos concretos en la API GraphQL en GitLab (CVE-2022-0152)
Fecha de publicación:
18/01/2022
Idioma:
Español
Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 13.10 anteriores a 14.4.5, todas las versiones a partir de la 14.5.0 anteriores a 14.5.3, todas las versiones a partir de la 14.6.0 anteriores a 14.6.2. GitLab era vulnerable al acceso no autorizado a algunos campos concretos mediante la API GraphQL
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2022
Suscribirse a Vulnerabilidades