Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ForU CMS (CVE-2022-3943)
Fecha de publicación:
11/11/2022
Idioma:
Español
Se encontró una vulnerabilidad en ForU CMS. Ha sido clasificada como problemática. Una función desconocida del archivo cms_chip.php es afectada por esta vulnerabilidad. La manipulación del nombre del argumento conduce a Cross-Site Scripting (XSS). Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-213450 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en SourceCodester Sanitization Management System (CVE-2022-3942)
Fecha de publicación:
11/11/2022
Idioma:
Español
Una vulnerabilidad fue encontrada en SourceCodester Sanitization Management System y clasificada como problemática. Este problema afecta un procesamiento desconocido del archivo php-sms/?p=request_quote. La manipulación conduce a Cross-Site Scripting (XSS). El ataque puede iniciarse de forma remota. A esta vulnerabilidad se le asignó el identificador VDB-213449.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Activity Log Plugin (CVE-2022-3941)
Fecha de publicación:
11/11/2022
Idioma:
Español
Una vulnerabilidad ha sido encontrada en Activity Log Plugin y clasificada como crítica. Código desconocido del componente HTTP Header Handler es afectado por esta vulnerabilidad. La manipulación del argumento X-Forwarded-For conduce a una neutralización de salida inadecuada para los registros. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-213448.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/12/2023

Vulnerabilidad en lanyulei ferry (CVE-2022-3940)
Fecha de publicación:
11/11/2022
Idioma:
Español
Una vulnerabilidad fue encontrada en lanyulei ferry y clasificada como problemática. Esto afecta a una parte desconocida del archivo apis/process/task.go. La manipulación del argumento file_name conduce a un path traversal. El identificador asociado de esta vulnerabilidad es VDB-213447.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2022

Vulnerabilidad en lanyulei ferry (CVE-2022-3939)
Fecha de publicación:
11/11/2022
Idioma:
Español
Se ha descubierto una vulnerabilidad clasificada como crítica en lanyulei ferry. Una función desconocida del archivo apis/public/file.go del componente API es afectada por esta vulnerabilidad. La manipulación del archivo de argumentos conduce a un path traversal. El ataque puede lanzarse de forma remota. VDB-213446 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2022

Vulnerabilidad en Arches (CVE-2022-41892)
Fecha de publicación:
11/11/2022
Idioma:
Español
Arches es una plataforma web para crear, gestionar y administrar visualización de datos geoespaciales. Las versiones anteriores a 6.1.2, 6.2.1 y 7.1.2 son vulnerables a la inyección SQL. Con una solicitud web cuidadosamente manipulada, es posible ejecutar ciertas declaraciones SQL no deseadas en la base de datos. Este problema se solucionó en las versiones 7.12, 6.2.1 y 6.1.2. Se recomienda a los usuarios que actualicen lo antes posible. No hay workarounds.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/11/2022

Vulnerabilidad en Contiki-NG (CVE-2022-41873)
Fecha de publicación:
11/11/2022
Idioma:
Español
Contiki-NG es un sistema operativo multiplataforma de código abierto para dispositivos Next-Generation IoT. Las versiones anteriores a la 4.9 son vulnerables a una lectura fuera de los límites. Mientras procesa el protocolo L2CAP, la pila Bluetooth Low Energy de Contiki-NG necesita asignar un ID de canal entrante a su estructura de metadatos. Mientras se busca la estructura del canal correspondiente en get_channel_for_cid (en os/net/mac/ble/ble-l2cap.c), se realiza una verificación de los límites en el ID del canal entrante, cuyo objetivo es garantizar que el ID del canal no exceda el número máximo de canales admitidos. Sin embargo, un problema de truncamiento de enteros hace que solo se verifique el byte más bajo del ID del canal, lo que genera una verificación fuera de los límites incompleta. Una ID de canal manipulada conduce a una memoria fuera de los límites para leer y escribir con datos controlados por el atacante. La vulnerabilidad ha sido parcheada en la rama "develop" de Contiki-NG y se incluirá en la versión 4.9. Como workaround, los usuarios pueden aplicar el parche en la solicitud de extracción 2081 de Contiki-NG en GitHub.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/11/2022

Vulnerabilidad en Redex (CVE-2022-36938)
Fecha de publicación:
11/11/2022
Idioma:
Español
La función DexLoader get_stringidx_fromdex() en Redex antes del commit 3b44c64 puede cargar una dirección fuera de límite al cargar la tabla de índice de cadenas, lo que potencialmente permite la ejecución remota de código durante el procesamiento de un archivo APK de Android de terceros.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/05/2025

Vulnerabilidad en Parse Server (CVE-2022-41878)
Fecha de publicación:
10/11/2022
Idioma:
Español
Parse Server es un backend de código abierto que se puede implementar en cualquier infraestructura que pueda ejecutar Node.js. En versiones anteriores a la 5.3.2 o 4.10.19, las palabras clave que se especifican en la opción del servidor Parse `requestKeywordDenylist` se pueden inyectar a través de activadores o webhooks de Cloud Code. Esto dará como resultado que la palabra clave se guarde en la base de datos, sin pasar por la opción `requestKeywordDenylist`. Este problema se solucionó en las versiones 4.10.19 y 5.3.2. Si la actualización no es posible, se pueden aplicar workarounds: Configure su firewall para permitir que solo los servidores confiables realicen solicitudes a la API de Webhooks de Parse Server Cloud Code, o bloquee la API por completo si no está utilizando la función.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2022

Vulnerabilidad en Intel(R) Server Board M10JNP Family (CVE-2021-0185)
Fecha de publicación:
10/11/2022
Idioma:
Español
La validación de entrada incorrecta en el firmware para algunos Intel(R) Server Board M10JNP Family anteriores a la versión 7.216 puede permitir que un usuario privilegiado habilite potencialmente una escalada de privilegios a través del acceso local.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/02/2025

Vulnerabilidad en ETIC Telecom (CVE-2022-40981)
Fecha de publicación:
10/11/2022
Idioma:
Español
Todas las versiones de ETIC Telecom Remote Access Server (RAS) 4.5.0 y anteriores son vulnerables a la carga de archivos maliciosos. Un atacante podría aprovechar esto para almacenar archivos maliciosos en el servidor, lo que podría anular archivos sensibles y útiles existentes en el sistema de archivos, llenar el disco duro a su máxima capacidad o comprometer el dispositivo afectado o las computadoras con privilegios de nivel de administrador conectados al dispositivo afectado.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/09/2024

Vulnerabilidad en ETIC Telecom (CVE-2022-41607)
Fecha de publicación:
10/11/2022
Idioma:
Español
Todas las versiones de ETIC Telecom Remote Access Server (RAS) 4.5.0 y la interfaz programable de aplicaciones (API) anterior son vulnerables a directory traversal a través de varios métodos diferentes. Esto podría permitir a un atacante leer archivos confidenciales del servidor, incluidas claves privadas SSH, contraseñas, scripts, objetos Python, archivos de bases de datos y más.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/09/2024
Suscribirse a Vulnerabilidades