Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo wp-admin/admin.php en el plugin Kama Click Counter (CVE-2017-20103)
Fecha de publicación:
27/06/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en el plugin Kama Click Counter versiones hasta 3.4.8. Esto afecta a una parte desconocida del archivo wp-admin/admin.php. La manipulación del argumento order_by/order con la entrada ASC%2c(select*from(select(sleep(2)))a) conlleva una inyección sql (Ciega). Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede ser usada. La actualización a la versión 3.4.9 puede solucionar este problema. Se recomienda actualizar el componente afectado
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2022

Vulnerabilidad en Pimcore (CVE-2022-31092)
Fecha de publicación:
27/06/2022
Idioma:
Español
Pimcore es una plataforma de administración de datos y experiencias de código abierto. Pimcore ofrece a desarrolladores clases de listado para facilitar la consulta de datos. Estas clases de listado también permiten ordenar o agrupar los resultados en base a una o más columnas que deberían ser citadas por defecto. El problema actual es que el entrecomillado no es realizado apropiadamente en ambos casos, por lo que se presenta la posibilidad teórica de inyectar SQL personalizado si el desarrollador usa estos métodos con datos de entrada y no realiza una comprobación de entrada apropiada de antemano, por lo que confía en el autocitado que realizan las clases de listado. Este problema ha sido resuelto en versión 10.4.4. Es recomendado a usuarios actualizar o aplicar el parche manualmente. No se presentan mitigaciones conocidas para este problema
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2022

Vulnerabilidad en Guzzle (CVE-2022-31091)
Fecha de publicación:
27/06/2022
Idioma:
Español
Guzzle, un cliente PHP HTTP extensible. Los encabezados "Authorization" y "Cookie" en las peticiones son información confidencial. En las versiones afectadas al realizar una petición que responde con un redireccionamiento a una URI con un puerto diferente, si decidimos seguirla, debemos eliminar los encabezados "Authorization" y "Cookie" de la petición, antes de contenerla. Anteriormente, sólo considerábamos un cambio de host o de esquema. Los usuarios de Guzzle 7 afectados deben actualizar a Guzzle versión 7.4.5 lo antes posible. Los usuarios afectados usando cualquier serie anterior de Guzzle deberían actualizar a Guzzle versiones 6.5.8 o 7.4.5. Tenga en cuenta que en Guzzle versión 7.4.2 fué implementado una corrección parcial, en la que un cambio de host desencadenaba una eliminación del encabezado de autorización añadida por curl, sin embargo esta corrección anterior no cubría el cambio de esquema o el cambio de puerto. Un enfoque alternativo sería usar su propio middleware de redireccionamiento, en lugar del nuestro, si no puede actualizar. Si usted no requiere o espera que sean seguidas los redireccionamientos, uno debería simplemente deshabilitar los redireccionamientos por completo
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2023

Vulnerabilidad en Guzzle (CVE-2022-31090)
Fecha de publicación:
27/06/2022
Idioma:
Español
Guzzle, un cliente PHP HTTP extensible. Los encabezados "Authorization" en las peticiones son información confidencial. En las versiones afectadas cuando es usado nuestro manejador Curl, es posible usar la opción "CURLOPT_HTTPAUTH" para especificar un encabezado "Authorization". Al realizar una petición que responda con un redireccionamiento a una URI con un origen diferente (cambio de host, esquema o puerto), si decidimos seguirla, debemos eliminar la opción "CURLOPT_HTTPAUTH" antes de continuar, impidiendo que curl añada el encabezado "Authorization" a la nueva petición. Los usuarios de Guzzle 7 afectados deben actualizar a Guzzle versión 7.4.5 lo antes posible. Los usuarios afectados que usen cualquier serie anterior de Guzzle deberían actualizar a Guzzle versiones 6.5.8 o 7.4.5. Tenga en cuenta que en Guzzle versión 7.4.2 fué implementada una corrección parcial, en la que un cambio de host desencadenaba una eliminación del encabezado de autorización añadida por curl, sin embargo esta corrección anterior no cubría el cambio de esquema o el cambio de puerto. Si no necesita o espera que sean seguidos los redireccionamientos, simplemente debería deshabilítalos todos. Alternativamente, puede especificarse el uso del backend de Guzzle steam handler, en lugar de curl
Gravedad CVSS v3.1: ALTA
Última modificación:
24/07/2023

Vulnerabilidad en el archivo /modules/mindmap/index.php de GUnet Open eClass Platform (CVE-2022-33116)
Fecha de publicación:
27/06/2022
Idioma:
Español
Un problema en la variable jmpath en el archivo /modules/mindmap/index.php de GUnet Open eClass Platform (también se conoce como openeclass) versiones v3.12.4 y anteriores, permite a atacantes leer archivos arbitrarios por medio de un salto de directorio
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2022

Vulnerabilidad en LDAP Account Manager (LAM) (CVE-2022-31086)
Fecha de publicación:
27/06/2022
Idioma:
Español
LDAP Account Manager (LAM) es una interfaz web para administrar entradas (por ejemplo, usuarios, grupos, configuraciones DHCP) almacenadas en un directorio LDAP. En versiones anteriores a 8.0, expresiones regulares incorrectas permiten cargar scripts PHP en config/templates/pdf. Esta vulnerabilidad podría conllevar a una Ejecución de Código Remota si el directorio /config/templates/pdf/ es accesible para usuarios remotos. Esta no es una configuración por defecto de LAM. Este problema ha sido corregido en versión 8.0. No se presentan mitigaciones conocidas para este problema
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2022

Vulnerabilidad en LDAP Account Manager (LAM) (CVE-2022-31088)
Fecha de publicación:
27/06/2022
Idioma:
Español
LDAP Account Manager (LAM) es una interfaz web para administrar entradas (por ejemplo, usuarios, grupos, configuraciones DHCP) almacenadas en un directorio LDAP. En versiones anteriores a 8.0, el campo del nombre de usuario en el inicio de sesión podía usarse para enumerar los datos LDAP. Este es el caso sólo de la configuración de búsqueda LDAP. Este problema ha sido corregido en versión 8.0
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2022

Vulnerabilidad en GLPI (CVE-2022-31082)
Fecha de publicación:
27/06/2022
Idioma:
Español
GLPI es un paquete de software gratuito de administración de activos y TI, administración de centros de datos, ITIL Service Desk, seguimiento de licencias y auditoría de software. glpi-inventory-plugin es un plugin para GLPI que permite administrar el inventario. En versiones afectadas puede realizarse una inyección SQL usando las tareas de despliegue de paquetes. Este problema ha sido resuelto en versión 1.0.2. Es recomendado a usuarios actualizar. Los usuarios que no puedan actualizar deberán eliminar el archivo "front/deploypackage.public.php" si no usan la función "deploy tasks"
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/07/2022

Vulnerabilidad en Parse Server (CVE-2022-31089)
Fecha de publicación:
27/06/2022
Idioma:
Español
Parse Server es un backend de código abierto que puede desplegarse en cualquier infraestructura que pueda ejecutar Node.js. En versiones afectadas, determinados tipos de peticiones de archivos no válidos no son administrados apropiadamente y pueden bloquear el servidor. Si está ejecutando varias instancias de Parse Server en un clúster, el impacto en la disponibilidad puede ser bajo; si está ejecutando Parse Server como instancia única sin redundancia, el impacto en la disponibilidad puede ser alto. Este problema ha sido abordado en versiones 4.10.12 y 5.2.3. Es recomendado a usuarios actualizar. No se presentan mitigaciones conocidas para este problema
Gravedad CVSS v3.1: ALTA
Última modificación:
07/07/2022

Vulnerabilidad en la funcionalidad Recently Viewed Projects en ScratchTools (CVE-2022-31094)
Fecha de publicación:
27/06/2022
Idioma:
Español
ScratchTools es una extensión web diseñada para facilitar la interacción con la comunidad del lenguaje de programación Scratch (Scratching). En las versiones afectadas, cualquier persona que use la funcionalidad Recently Viewed Projects es vulnerable a que su cuenta sea tomada si visualiza un proyecto que lo intente. El problema es que si un usuario visita un proyecto que incluye Javascript en el título, entonces cuando la funcionalidad Recently Viewed Projects lo muestra, podría ejecutar el Javascript. Este problema ha sido abordado en versión 2.5.2. Los usuarios que tengan problemas de rayado deben abrir una incidencia en el rastreador de incidencias del proyecto https://github.com/STForScratch/ScratchTools/
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2022

Vulnerabilidad en una carga útil en el campo de texto Name en el módulo System Settings/IOT Settings de Delta Electronics DIAEnergie (CVE-2022-33005)
Fecha de publicación:
27/06/2022
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en el módulo System Settings/IOT Settings de Delta Electronics DIAEnergie versión v1.08.00, permite a atacantes ejecutar scripts web arbitrarios por medio de una carga útil diseñada inyectada en el campo de texto Name
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/07/2022

Vulnerabilidad en HTTP::Daemon (CVE-2022-31081)
Fecha de publicación:
27/06/2022
Idioma:
Español
HTTP::Daemon es una clase simple de servidor http escrita en perl. Las versiones anteriores a 6.15 están sujetas a una vulnerabilidad que podría ser explotada para conseguir acceso privilegiado a las API o envenenar las cachés intermedias. No es sabido con certeza la magnitud de los riesgos, la mayoría de las aplicaciones basadas en Perl son servidas sobre Nginx o Apache, no sobre el "HTTP::Daemon". Esta biblioteca es usada habitualmente para el desarrollo local y las pruebas. Es recomendado a usuarios actualizar para resolver este problema. Los usuarios que no puedan actualizar pueden añadir una lógica de administración de peticiones adicional como mitigación. Tras llamar a "my $rqst = $conn-)get_request()" podía inspeccionarse el objeto "HTTP::Request" devuelto. Consultando el "Content-Length" ("my $cl = $rqst-)header("Content-Length")") mostrará cualquier anormalidad que deba ser tratada con una respuesta "400". Las cadenas esperadas de "Content-Length" DEBERÍAN consistir en un único número entero no negativo, o bien, una repetición separada por comas de ese número. (es decir, "42" o "42, 42, 42"). Cualquier otra cosa DEBE ser rechazada
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades