Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Tuleap (CVE-2022-23473)
Fecha de publicación:
13/12/2022
Idioma:
Español
Tuleap es una suite de código abierto para mejorar la gestión de los desarrollos de software y la colaboración. En versiones anteriores a la 14.2.99.148, las autorizaciones no se verifican correctamente al acceder a los recursos independientes de MediaWiki. Los usuarios con permisos de solo lectura para páginas también pueden editarlas. Esto sólo afecta al complemento independiente de MediaWiki. Este problema se solucionó en las versiones Tuleap Community Edition 14.2.99.148, Tuleap Enterprise Edition 14.2-5 y Tuleap Enterprise Edition 14.1-6.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/12/2022

Vulnerabilidad en SAP Disclosure Management 10.1 (CVE-2022-41274)
Fecha de publicación:
13/12/2022
Idioma:
Español
SAP Disclosure Management: versión 10.1, permite a un atacante autenticado explotar ciertos endpoints de aplicaciones mal configurados para leer datos confidenciales. Estos endpoints normalmente están expuestos a través de la red y una explotación exitosa puede llevar a la exposición de datos como informes financieros.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2023

Vulnerabilidad en SAP Sourcing y SAP Contract Lifecycle Management (CVE-2022-41273)
Fecha de publicación:
13/12/2022
Idioma:
Español
Debido a una sanitización inadecuada de las entradas en SAP Sourcing y SAP Contract Lifecycle Management - versión 1100, un atacante puede redirigir a un usuario a un sitio web malicioso. Para realizar este ataque, el atacante envía un correo electrónico a la víctima con un enlace manipulado que parece ser una URL legítima de SAP Sourcing, ya que la víctima no sospecha la amenaza, hace clic en el enlace e inicia sesión en SAP Sourcing. y CLM y, en este punto, son redirigidos a un sitio web malicioso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en SAP Solution Manager (Enterprise Search) (CVE-2022-41275)
Fecha de publicación:
13/12/2022
Idioma:
Español
En SAP Solution Manager (Enterprise Search), versiones 740 y 750, un atacante no autenticado puede generar un enlace que, si un usuario que ha iniciado sesión hace clic en él, puede ser redirigido a una página maliciosa que podría leer o modificar información confidencial, o exponer al usuario a un ataque de phishing, con poco impacto en la confidencialidad e integridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en SAP NetWeaver Process Integration (PI) (CVE-2022-41272)
Fecha de publicación:
13/12/2022
Idioma:
Español
Un atacante no autenticado a través de la red puede conectarse a una interfaz abierta expuesta a través de JNDI mediante User Defined Search (UDS) de SAP NetWeaver Process Integration (PI), versión 7.50, y hacer uso de una API de directorio y nombres abiertos para acceder a servicios que pueden ser se utiliza para realizar operaciones no autorizadas que afectan a los usuarios y a los datos en todo el sistema. Esto permite al atacante tener acceso de lectura completo a los datos del usuario, realizar modificaciones limitadas en los datos del usuario y degradar el rendimiento del sistema, lo que genera un alto impacto en la confidencialidad y un impacto limitado en la disponibilidad e integridad de la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en SAP NetWeaver Process Integration 7.50 (CVE-2022-41271)
Fecha de publicación:
13/12/2022
Idioma:
Español
Un usuario no autenticado puede conectarse a una interfaz abierta expuesta a través de JNDI por el sistema de mensajería de SAP NetWeaver Process Integration (PI), versión 7.50. Este usuario puede hacer uso de una API de directorio y nombres abiertos para acceder a servicios que podrían realizar operaciones no autorizadas. La vulnerabilidad afecta a los usuarios y datos locales, lo que genera un impacto considerable en la confidencialidad y la disponibilidad y un impacto limitado en la integridad de la aplicación. Estas operaciones se pueden utilizar para: * Leer cualquier información * Modificar información confidencial * Ataques de denegación de servicio (DoS) * Inyección SQL
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en SAP Business Planning and Consolidation (CVE-2022-41268)
Fecha de publicación:
13/12/2022
Idioma:
Español
En algunos roles estándar de SAP en SAP Business Planning and Consolidation - versiones - SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, DWCORE 200, 300, CPMBPC 810, se utiliza un código de transacción reservado para el cliente. Al implementar dicho código de transacción, un usuario malintencionado puede ejecutar una funcionalidad de transacción no autorizada. En circunstancias específicas, un ataque exitoso podría permitir a un adversario aumentar sus privilegios para poder leer, cambiar o eliminar datos del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en SAP Business Objects Platform (CVE-2022-41267)
Fecha de publicación:
13/12/2022
Idioma:
Español
SAP Business Objects Platform: versiones 420 y 430, permite a un atacante con privilegios de usuario de BI normal cargar/reemplazar cualquier archivo en el servidor de Business Objects a nivel del sistema operativo, lo que le permite al atacante tomar control total del sistema y causar un alto impacto en confidencialidad, integridad y disponibilidad de la solicitud.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/12/2022

Vulnerabilidad en SAP Commerce Webservices 2.0 (Swagger UI) (CVE-2022-41266)
Fecha de publicación:
13/12/2022
Idioma:
Español
Debido a la falta de una validación de entrada adecuada, SAP Commerce Webservices 2.0 (Swagger UI): versiones 1905, 2005, 2105, 2011, 2205, permite entradas maliciosas de fuentes no confiables, que un atacante puede aprovechar para ejecutar un ataque de cross site scripting DOM (XSS). Como resultado, un atacante puede robar tokens de usuario y lograr el control total de la cuenta, incluido el acceso a herramientas administrativas en SAP Commerce.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en SAP BASIS (CVE-2022-41264)
Fecha de publicación:
13/12/2022
Idioma:
Español
Debido al alcance ilimitado del módulo de función RFC, SAP BASIS - versiones 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789, 790, 791, permite que un atacante no administrador autenticado acceda una clase de sistema y ejecutar cualquiera de sus métodos públicos con parámetros proporcionados por el atacante. Si la explotación tiene éxito, el atacante puede tener control total del sistema al que pertenece la clase, provocando un alto impacto en la integridad de la aplicación.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Logrhythm Web Console 7.4.9 (CVE-2021-41943)
Fecha de publicación:
13/12/2022
Idioma:
Español
Logrhythm Web Console 7.4.9 permite la inyección de etiquetas HTML a través de Contextualize Action -> Create a new Contextualize Action -> Inject your HTML tag en el campo name.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2025

CVE-2022-3931
Fecha de publicación:
12/12/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades