Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en admin/file-manager/attachments en Croogo (CVE-2021-44673)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se presenta una vulnerabilidad de Ejecución de Código Remota (RCE) en Croogo versión 3.0.2, por medio de admin/file-manager/attachments, que permite a un usuario malicioso cargar un script de shell web
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2022

Vulnerabilidad en SPIP (CVE-2022-26847)
Fecha de publicación:
10/03/2022
Idioma:
Español
SPIP versiones anteriores a 3.2.14 y versiones 4.x anteriores a 4.0.5, permite el acceso no autenticado a información sobre objetos editoriales
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2022

Vulnerabilidad en SPIP (CVE-2022-26846)
Fecha de publicación:
10/03/2022
Idioma:
Español
SPIP versiones anteriores a 3.2.14 y versiones 4.x anteriores a 4.0.5, permite a editores remotos autenticados ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2022

Vulnerabilidad en Veritas System Recovery (VSR) (CVE-2022-26778)
Fecha de publicación:
10/03/2022
Idioma:
Español
Veritas System Recovery (VSR) versiones 18 y 21, almacena una contraseña de destino de red en el registro de Windows durante la configuración de la copia de seguridad. Esto podría permitir a un usuario de Windows (que tenga privilegios suficientes) acceder a un sistema de archivos de red al que no estaba autorizado a acceder
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2022

Vulnerabilidad en un archivo XML SEPA en Tryton Application Platform (Server y Tryton Application Platform (Command Line Client (proteus)) (CVE-2022-26661)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se ha detectado un problema de tipo XXE en Tryton Application Platform (Server) versiones 5.x hasta 5.0.45, versiones 6.x hasta 6.0.15, y versiones 6.1.x y 6.2.x hasta 6.2.5, y Tryton Application Platform (Command Line Client (proteus)) versiones 5.x hasta 5.0.11, versiones 6.x hasta 6.0.4, y versiones 6.1.x y 6.2.x hasta 6.2.1. Un usuario autenticado puede hacer que el servidor analice un archivo XML SEPA diseñado para acceder a archivos arbitrarios en el sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2022

Vulnerabilidad en un mensaje XML-RPC en Tryton Application Platform (Server) y Tryton Application Platform (Command Line Client (proteus)) (CVE-2022-26662)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se ha detectado un problema de tipo XML Entity Expansion (XEE) en Tryton Application Platform (Server) versiones 5.x hasta 5.0.45, versiones 6.x hasta 6.0.15 y versiones 6.1.x y 6.2.x hasta 6.2.5, y Tryton Application Platform (Command Line Client (proteus)) versiones 5.x hasta 5.0.11, versiones 6.x hasta 6.0.4 y versiones 6.1.x y 6.2.x hasta 6.2.1. Un usuario no autenticado puede enviar un mensaje XML-RPC diseñado para consumir todos los recursos del servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2022

Vulnerabilidad en un elemento en un archivo ZIP para flujos JetStream en NATS nats-server (CVE-2022-26652)
Fecha de publicación:
10/03/2022
Idioma:
Español
NATS nats-server versiones anteriores a 2.7.4, permite un Salto de Directorio (con acceso de escritura) por medio de un elemento en un archivo ZIP para flujos JetStream. nats-streaming-server versiones anteriores a 0.24.3 también está afectado
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2022

Vulnerabilidad en Abantecart (CVE-2022-26521)
Fecha de publicación:
10/03/2022
Idioma:
Español
Abantecart versiones hasta 1.3.2, permite a administradores remotos autenticados ejecutar código arbitrario subiendo un archivo ejecutable, ya que la configuración Catalog)Media Manager)Images settings puede ser cambiada por un administrador (por ejemplo, configurando .php para que sea un tipo de archivo de imagen válido)
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2023

Vulnerabilidad en Python en Windows (CVE-2022-26488)
Fecha de publicación:
10/03/2022
Idioma:
Español
En Python versiones anteriores a 3.10.3 en Windows, los usuarios locales pueden alcanzar privilegios porque la ruta de búsqueda no está asegurada apropiadamente. El instalador puede permitir a un atacante local añadir directorios escribibles por el usuario a la ruta de búsqueda del sistema. Para explotarla, un administrador debe haber instalado Python para todos los usuarios y habilitar las entradas PATH. Un usuario no administrador puede desencadenar una reparación que añada incorrectamente rutas escribibles por el usuario en el PATH, permitiendo el secuestro de la ruta de búsqueda de otros usuarios y servicios del sistema. Esto afecta a Python (CPython) versiones hasta 3.7.12, versiones 3.8.x hasta 3.8.12, versiones 3.9.x hasta 3.9.10, y versiones 3.10.x hasta 3.10.2
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en las propiedades de conexión loggerFile y loggerLevel en pgjdbc (CVE-2022-26520)
Fecha de publicación:
10/03/2022
Idioma:
Español
** EN DISPUTA ** En pgjdbc versiones anteriores a 42.3.3, un atacante (que controla la URL o las propiedades de jdbc) puede llamar a java.util.logging.FileHandler para escribir en archivos arbitrarios mediante las propiedades de conexión loggerFile y loggerLevel. Una situación de ejemplo es que un atacante podría crear un archivo JSP ejecutable bajo una root web de Tomcat. NOTA: la posición del proveedor es que no se presenta una vulnerabilidad de pgjdbc; en cambio, es una vulnerabilidad para cualquier aplicación que use el controlador pgjdbc con propiedades de conexión no confiables
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/08/2024

CVE-2022-26333
Fecha de publicación:
10/03/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en Citrix Federated Authentication Service (FAS) (CVE-2022-26355)
Fecha de publicación:
10/03/2022
Idioma:
Español
Citrix Federated Authentication Service (FAS) versiones 7.17 - 10.6, causa que las implementaciones que han sido configuradas para almacenar la clave privada de un certificado de autoridad de registro en un módulo de plataforma confiable (TPM) almacenen incorrectamente esa clave en el proveedor de almacenamiento de claves de software de Microsoft (MSKSP). Este problema sólo es producida cuando fue usado PowerShell al configurar FAS para almacenar la clave privada del certificado de autoridad de registro en el TPM. No ocurre si no es seleccionado el TPM para su uso o fue usada la consola de administración de FAS para la configuración
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/03/2022
Suscribirse a Vulnerabilidades