Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en UPSMON Pro no (CVE-2022-38119)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** UPSMON Pro login function has insufficient authentication. An unauthenticated remote attacker can exploit this vulnerability to bypass authentication and get administrator privilege to access, control system or disrupt service.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2022

Vulnerabilidad en UPSMON PRO (CVE-2022-38120)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** UPSMON PRO’s has a path traversal vulnerability. A remote attacker with general user privilege can exploit this vulnerability to bypass authentication and access arbitrary system files.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/11/2022

Vulnerabilidad en SUSE Linux Enterprise Module para SUSE Manager Server (CVE-2022-31255)
Fecha de publicación:
10/11/2022
Idioma:
Español
Una vulnerabilidad de limitación inadecuada de un nombre de ruta a un directorio restringido ("Path Traversal") en spacewalk/Uyuni de SUSE Linux Enterprise Module para SUSE Manager Server 4.2, SUSE Linux Enterprise Module para SUSE Manager Server 4.3, SUSE Manager Server 4.2 permite a atacantes remotos lee los archivos disponibles para el usuario que ejecuta el proceso, normalmente Tomcat. Este problema afecta a: SUSE Linux Enterprise Module for SUSE Manager Server 4.2 hub-xmlrpc-api-0.7-150300.3.9.2, inter-server-sync-0.2.4-150300.8.25.2, locale-formula-0.3-150300.3.3.2, py27-compat-salt-3000.3-150300.7.7.26.2, python-urlgrabber-3.10.2.1py2_3-150300.3.3.2, spacecmd-4.2.20-150300.4.30.2, spacewalk-backend-4.2.25-150300.4.32.4, spacewalk-client-tools-4.2.21-150300.4.27.3, spacewalk-java-4.2.43-150300.3.48.2, spacewalk-utils-4.2.18-150300.3.21.2, spacewalk-web-4.2.30-150300.3.30.3, susemanager-4.2.38-150300.3.44.3, susemanager-doc-indexes-4.2-150300.12.36.3, susemanager-docs_en-4.2-150300.12.36.2, susemanager-schema-4.2.25-150300.3.30.3, susemanager-sls versiones anteriores a 4.2.28. Módulo SUSE Linux Enterprise para SUSE Manager Server 4.3 spacewalk-java versiones anteriores a 4.3.39. SUSE Manager Server 4.2 release-notes-susemanager versiones anteriores a la 4.2.10.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2022

Vulnerabilidad en ComServer Series (CVE-2022-42786)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** Multiple W&T Products of the ComServer Series are prone to an XSS attack. An authenticated remote Attacker can execute arbitrary web scripts or HTML via a crafted payload injected into the title of the configuration webpage
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2023

Vulnerabilidad en Comserver Series (CVE-2022-42787)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** Multiple W&T products of the Comserver Series use a small number space for allocating sessions ids. After login of an user an unathenticated remote attacker can brute force the users session id and get access to his account on the the device. As the user needs to log in for the attack to be successful a user interaction is required.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/12/2022

Vulnerabilidad en Payara (CVE-2022-45129)
Fecha de publicación:
10/11/2022
Idioma:
Español
Payara antes del 4 de noviembre de 2022, cuando se implementaba en el contexto root, permitía a los atacantes visitar META-INF y WEB-INF, una vulnerabilidad diferente a CVE-2022-37422. Esto afecta a Payara Platform Community antes de 4.1.2.191.38, 5.x antes de 5.2022.4 y 6.x antes de 6.2022.1, y a Payara Platform Enterprise antes de 5.45.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2025

Vulnerabilidad en Plesk Obsidian (CVE-2022-45130)
Fecha de publicación:
10/11/2022
Idioma:
Español
Plesk Obsidian permite un ataque CSRF, por ejemplo, a través de la API REST /api/v2/cli/commands para cambiar una contraseña de administrador. NOTA: Obsidian es una versión específica del producto Plesk: los números de versión se utilizaron hasta la versión 12 y luego se cambió la convención para que las versiones se identifiquen por nombres ("Obsidian"), no por números.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/05/2025

Vulnerabilidad en HashiCorp Nomad y Nomad Enterprise (CVE-2022-3867)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** HashiCorp Nomad and Nomad Enterprise 1.4.0 up to 1.4.1 event stream subscribers using a token with TTL receive updates until token garbage is collected. Fixed in 1.4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/11/2022

Vulnerabilidad en HashiCorp Nomad y Nomad Enterprise (CVE-2022-3866)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** HashiCorp Nomad and Nomad Enterprise 1.4.0 up to 1.4.1 workload identity token can list non-sensitive metadata for paths under nomad/ that belong to other jobs in the same namespace. Fixed in 1.4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/11/2022

Vulnerabilidad en Tasklists para GLPI (Kanban) (CVE-2022-39398)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** tasklists is a tasklists plugin for GLPI (Kanban). Versions prior to 2.0.3 are vulnerable to Cross-site Scripting. Cross-site Scripting (XSS) - Create XSS in task content (when add it). This issue is patched in version 2.0.3. There are no known workarounds.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/11/2022

Vulnerabilidad en Parse Server (CVE-2022-39396)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Versions prior to 4.10.18, and prior to 5.3.1 on the 5.X branch, are vulnerable to Remote Code Execution via prototype pollution. An attacker can use this prototype pollution sink to trigger a remote code execution through the MongoDB BSON parser. This issue is patched in version 5.3.1 and in 4.10.18. There are no known workarounds.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/11/2022

Vulnerabilidad en GitLab CE/EE (CVE-2022-3793)
Fecha de publicación:
10/11/2022
Idioma:
Español
Un problema de autorización inadecuada en GitLab CE/EE que afecta a todas las versiones desde 14.4 anterior a 15.3.5, 15.4 anterior a 15.4.4 y 15.5 anterior a 15.5.2 permite a un atacante leer variables configuradas directamente en un archivo de configuración de GitLab CI/CD no tienen acceso a.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/11/2022
Suscribirse a Vulnerabilidades