Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Concrete CMS (CVE-2022-43967)
Fecha de publicación:
14/11/2022
Idioma:
Español
Concrete CMS (anteriormente concrete5) versiones inferiores a 8.5.10 y entre 9.0.0 y 9.1.2 es vulnerable a Reflected XSS en el informe multilingüe debido a una salida no sanitizada. Se corrige actualizando a Concrete CMS 9.1.3+ o 8.5.10+.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025

Vulnerabilidad en Concrete CMS (CVE-2022-43968)
Fecha de publicación:
14/11/2022
Idioma:
Español
Concrete CMS (anteriormente concrete5) anterior a 8.5.10 y entre 9.0.0 y 9.1.2 es vulnerable a XSS reflejado en los íconos del tablero debido a resultados no sanitizados. Se corrige actualizando a Concrete CMS 9.1.3+ o 8.5.10+.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025

Vulnerabilidad en Concrete CMS (CVE-2022-43686)
Fecha de publicación:
14/11/2022
Idioma:
Español
En Concrete CMS (formerly concrete5) versiones anteriores a 8.5.10 y entre 9.0.0 y 9.1.2, la tabla authTypeConcreteCookieMap se puede llenar provocando una denegación de servicio (high load).
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en kernel de Insyde (CVE-2022-30773)
Fecha de publicación:
14/11/2022
Idioma:
Español
Los ataques DMA al búfer de parámetros utilizado por el controlador IhisiSmm podrían cambiar el contenido después de que se hayan verificado los valores de los parámetros pero antes de usarlos (un ataque TOCTOU). Los ataques DMA al búfer de parámetros utilizado por el controlador IhisiSmm podrían cambiar el contenido después de que se hayan verificado los valores de los parámetros pero antes de usarlos (un ataque TOCTOU). Este problema fue descubierto por la ingeniería de Insyde. Este problema se solucionó en Kernel 5.4: 05.44.23 y Kernel 5.5: 05.52.23. CWE-367
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en Insyde InsydeH2O (CVE-2022-32266)
Fecha de publicación:
14/11/2022
Idioma:
Español
Los ataques DMA al búfer de parámetros utilizado por un controlador SMI de software utilizado por el controlador PcdSmmDxe podrían provocar un ataque TOCTOU al controlador SMI y provocar la corrupción de otros campos ACPI y campos de memoria adyacentes. <br /> Los ataques DMA al búfer de parámetros utilizado por un controlador SMI de software utilizado por el controlador PcdSmmDxe podrían provocar un ataque TOCTOU al controlador SMI y provocar la corrupción de otros campos ACPI y campos de memoria adyacentes.<br /> El ataque requeriría un conocimiento detallado del contenido de la base de datos PCD en la plataforma actual. Este problema fue descubierto por la ingeniería de Insyde durante una revisión de seguridad. Este problema se solucionó en: <br /> Kernel 5.3: 05.36.23<br /> Kernel 5.4: 05.44.23<br /> Kernel 5.5: 05.52.23.<br /> El kernel 5.2 no se ve afectado.<br /> CWE-787 Se descubrió un problema en Insyde InsydeH2O con el kernel 5.0 a 5.5. Los ataques DMA al búfer de parámetros que utiliza un controlador SMI de software (usado por el controlador PcdSmmDxe) podrían provocar un ataque de condición de ejecución TOCTOU en el controlador SMI y provocar la corrupción de otros campos ACPI y campos de memoria adyacentes. El ataque requeriría un conocimiento detallado del contenido de la base de datos PCD en la plataforma actual.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en XPDF v4.04 (CVE-2022-43295)
Fecha de publicación:
14/11/2022
Idioma:
Español
Se descubrió que XPDF v4.04 contenía un desbordamiento de memoria mediante la función FileStream::copy() en xpdf/Stream.cc:795.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025

Vulnerabilidad en Canteen Management System v1.0 (CVE-2022-43146)
Fecha de publicación:
14/11/2022
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitrarios en la función de carga de imágenes de Canteen Management System v1.0 permite a los atacantes ejecutar código arbitrario a través de un archivo PHP manipulado.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2025

Vulnerabilidad en Discourse-calendar (CVE-2022-41913)
Fecha de publicación:
14/11/2022
Idioma:
Español
Discourse-calendar es un complemento para la plataforma de mensajería Discourse que agrega la capacidad de crear un calendario dinámico en la primera publicación de un tema. Los usuarios pueden enumerar los miembros de grupos privados o grupos públicos con miembros privados, quienes pueden crear y editar eventos de publicación. Esta vulnerabilidad solo afecta a los sitios que tienen habilitados los eventos de publicación de discursos. Este problema se solucionó en el commit `ca5ae3e7e` que se incluirá en versiones futuras. Los usuarios que no puedan actualizar deben desactivar la configuración `discourse_post_event_enabled` para mitigar completamente el problema. Además, es posible evitar que los usuarios habituales utilicen esta vulnerabilidad eliminando todos los grupos de `discourse_post_event_allowed_on_groups`, pero tenga en cuenta que los moderadores aún podrán utilizarla.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2022

Vulnerabilidad en kernel de Linux (CVE-2022-3903)
Fecha de publicación:
14/11/2022
Idioma:
Español
Se encontró una falla de solicitud de lectura incorrecta en el controlador USB del transceptor de infrarrojos en el kernel de Linux. Este problema ocurre cuando un usuario conecta un dispositivo USB malicioso. Un usuario local podría utilizar esta falla para agotar los recursos, provocando denegación de servicio o potencialmente fallando el sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en repositorio ikus060/rdiffweb de Github (CVE-2022-3362)
Fecha de publicación:
14/11/2022
Idioma:
Español
Caducidad de sesión insuficiente en el repositorio de GitHub ikus060/rdiffweb anterior a 2.5.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/11/2022

Vulnerabilidad en kernel de Linux (CVE-2022-3238)
Fecha de publicación:
14/11/2022
Idioma:
Español
Se encontró una falla de doble liberación en el subsistema NTFS3 del kernel de Linux en la forma en que un usuario activa el montaje y el desmontaje simultáneamente. Esta falla permite que un usuario local falle o potencialmente aumente sus privilegios en el sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2025

Vulnerabilidad en Discourse (CVE-2022-39385)
Fecha de publicación:
14/11/2022
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. En algunos casos excepcionales, los usuarios que canjean una invitación pueden ser agregados como participantes a varios temas de mensajes privados a los que no se les debe agregar. No se les notifica esto, sucede de forma transparente en segundo plano. Este problema se resolvió en el commit "a414520742" y se incluirá en versiones futuras. Se recomienda a los usuarios que actualicen. También se recomienda a los usuarios que establezcan `SiteSetting.max_invites_per_day` en 0 hasta que se instale el parche.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/11/2022
Suscribirse a Vulnerabilidades