Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Agentflow BPM (CVE-2022-39037)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** Agentflow BPM file download function has a path traversal vulnerability. An unauthenticated remote attacker can exploit this vulnerability to bypass authentication and download arbitrary system files.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/11/2022

Vulnerabilidad en Agentflow BPM (CVE-2022-39038)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** Agentflow BPM enterprise management system has improper authentication. A remote attacker with general user privilege can change the name of the user account to acquire arbitrary account privilege, and access, manipulate system or disrupt service.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/11/2022

Vulnerabilidad en UPSMON PRO (CVE-2022-38122)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** UPSMON PRO transmits sensitive data in cleartext over HTTP protocol. An unauthenticated remote attacker can exploit this vulnerability to access sensitive data.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/11/2022

Vulnerabilidad en UPSMON PRO (CVE-2022-38121)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** UPSMON PRO configuration file stores user password in plaintext under public user directory. A remote attacker with general user privilege can access all users‘ and administrators' account names and passwords via this unprotected configuration file.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/11/2022

Vulnerabilidad en UPSMON Pro no (CVE-2022-38119)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** UPSMON Pro login function has insufficient authentication. An unauthenticated remote attacker can exploit this vulnerability to bypass authentication and get administrator privilege to access, control system or disrupt service.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2022

Vulnerabilidad en UPSMON PRO (CVE-2022-38120)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** UPSMON PRO’s has a path traversal vulnerability. A remote attacker with general user privilege can exploit this vulnerability to bypass authentication and access arbitrary system files.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/11/2022

Vulnerabilidad en SUSE Linux Enterprise Module para SUSE Manager Server (CVE-2022-31255)
Fecha de publicación:
10/11/2022
Idioma:
Español
Una vulnerabilidad de limitación inadecuada de un nombre de ruta a un directorio restringido ("Path Traversal") en spacewalk/Uyuni de SUSE Linux Enterprise Module para SUSE Manager Server 4.2, SUSE Linux Enterprise Module para SUSE Manager Server 4.3, SUSE Manager Server 4.2 permite a atacantes remotos lee los archivos disponibles para el usuario que ejecuta el proceso, normalmente Tomcat. Este problema afecta a: SUSE Linux Enterprise Module for SUSE Manager Server 4.2 hub-xmlrpc-api-0.7-150300.3.9.2, inter-server-sync-0.2.4-150300.8.25.2, locale-formula-0.3-150300.3.3.2, py27-compat-salt-3000.3-150300.7.7.26.2, python-urlgrabber-3.10.2.1py2_3-150300.3.3.2, spacecmd-4.2.20-150300.4.30.2, spacewalk-backend-4.2.25-150300.4.32.4, spacewalk-client-tools-4.2.21-150300.4.27.3, spacewalk-java-4.2.43-150300.3.48.2, spacewalk-utils-4.2.18-150300.3.21.2, spacewalk-web-4.2.30-150300.3.30.3, susemanager-4.2.38-150300.3.44.3, susemanager-doc-indexes-4.2-150300.12.36.3, susemanager-docs_en-4.2-150300.12.36.2, susemanager-schema-4.2.25-150300.3.30.3, susemanager-sls versiones anteriores a 4.2.28. Módulo SUSE Linux Enterprise para SUSE Manager Server 4.3 spacewalk-java versiones anteriores a 4.3.39. SUSE Manager Server 4.2 release-notes-susemanager versiones anteriores a la 4.2.10.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2022

Vulnerabilidad en ComServer Series (CVE-2022-42786)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** Multiple W&T Products of the ComServer Series are prone to an XSS attack. An authenticated remote Attacker can execute arbitrary web scripts or HTML via a crafted payload injected into the title of the configuration webpage
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2023

Vulnerabilidad en Comserver Series (CVE-2022-42787)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** Multiple W&T products of the Comserver Series use a small number space for allocating sessions ids. After login of an user an unathenticated remote attacker can brute force the users session id and get access to his account on the the device. As the user needs to log in for the attack to be successful a user interaction is required.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/12/2022

Vulnerabilidad en Payara (CVE-2022-45129)
Fecha de publicación:
10/11/2022
Idioma:
Español
Payara antes del 4 de noviembre de 2022, cuando se implementaba en el contexto root, permitía a los atacantes visitar META-INF y WEB-INF, una vulnerabilidad diferente a CVE-2022-37422. Esto afecta a Payara Platform Community antes de 4.1.2.191.38, 5.x antes de 5.2022.4 y 6.x antes de 6.2022.1, y a Payara Platform Enterprise antes de 5.45.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2025

Vulnerabilidad en Plesk Obsidian (CVE-2022-45130)
Fecha de publicación:
10/11/2022
Idioma:
Español
Plesk Obsidian permite un ataque CSRF, por ejemplo, a través de la API REST /api/v2/cli/commands para cambiar una contraseña de administrador. NOTA: Obsidian es una versión específica del producto Plesk: los números de versión se utilizaron hasta la versión 12 y luego se cambió la convención para que las versiones se identifiquen por nombres ("Obsidian"), no por números.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/05/2025

Vulnerabilidad en HashiCorp Nomad y Nomad Enterprise (CVE-2022-3867)
Fecha de publicación:
10/11/2022
Idioma:
Inglés
*** Pendiente de traducción *** HashiCorp Nomad and Nomad Enterprise 1.4.0 up to 1.4.1 event stream subscribers using a token with TTL receive updates until token garbage is collected. Fixed in 1.4.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/11/2022
Suscribirse a Vulnerabilidades