Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Diffie-Hellman Key Agreement Protocol (CVE-2022-40735)
Fecha de publicación:
14/11/2022
Idioma:
Español
Diffie-Hellman Key Agreement Protocol permite el uso de exponentes largos que posiblemente hacen que ciertos cálculos sean innecesariamente costosos, porque el artículo de van Oorschot y Wiener de 1996 encontró que se pueden usar "exponentes (apropiadamente) cortos" cuando existen restricciones de subgrupo adecuadas, y estos exponentes cortos pueden conducir a cálculos menos costosos que los de exponentes largos. Este problema es diferente de CVE-2002-20001, porque se basa en una observación sobre el tamaño del exponente, en lugar de una observación sobre números que no son claves públicas. Las situaciones específicas en las que el gasto de cálculo constituiría una vulnerabilidad del lado del servidor dependen del protocolo (por ejemplo, TLS, SSH o IKE) y los detalles de implementación de DHE. En general, puede haber un problema de disponibilidad debido al consumo de recursos del lado del servidor a partir de los cálculos de exponenciación modular de DHE. Finalmente, es posible que un atacante aproveche esta vulnerabilidad y CVE-2002-20001 juntos.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2024

Vulnerabilidad en Concrete CMS (CVE-2022-43687)
Fecha de publicación:
14/11/2022
Idioma:
Español
Concrete CMS (anteriormente concrete5) anterior a 8.5.10 y entre 9.0.0 y 9.1.2 no emite una nueva ID de sesión tras una autenticación OAuth exitosa. Se corrige actualizando a Concrete CMS 9.1.3+ o 8.5.10+.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en StorageSecurityCommandDxe (CVE-2022-34325)
Fecha de publicación:
14/11/2022
Idioma:
Español
Las transacciones DMA que están dirigidas a los búferes de entrada utilizados para el controlador SMI del software StorageSecurityCommandDxe podrían causar corrupción de SMRAM a través de un ataque TOCTOU. Las transacciones DMA que están dirigidas a los búferes de entrada utilizados para el controlador SMI de software utilizado por el controlador StorageSecurityCommandDxe podrían provocar daños en SMRAM. Este problema fue descubierto por la ingeniería de Insyde basándose en la descripción general proporcionada por
Gravedad CVSS v3.1: ALTA
Última modificación:
30/04/2025

Vulnerabilidad en Siyucms v6.1.7 (CVE-2022-43030)
Fecha de publicación:
14/11/2022
Idioma:
Español
Se descubrió que Siyucms v6.1.7 contenía una vulnerabilidad de ejecución remota de código (RCE) en segundo plano. SIYUCMS es un sistema de gestión de contenidos basado en ThinkPaP5 AdminLTE. SIYUCMS tiene una vulnerabilidad de ejecución de comandos en segundo plano, que los atacantes pueden utilizar para obtener privilegios de servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2025

Vulnerabilidad en IdeBusDxe (CVE-2022-33907)
Fecha de publicación:
14/11/2022
Idioma:
Español
Las transacciones DMA que están dirigidas a los búferes de entrada utilizados para el controlador SMI de software utilizado por el controlador IdeBusDxe podrían causar corrupción de SMRAM a través de un ataque TOCTOU... Las transacciones DMA que están dirigidas a los búferes de entrada utilizados para el controlador SMI de software utilizado por el controlador IdeBusDxe podrían causar corrupción SMRAM a través de un ataque TOCTOU. Este problema fue descubierto por ingeniería de Insyde basándose en la descripción general proporcionada por el grupo iSTARE de Intel. Corregido en kernel 5.2: 05.27.25, kernel 5.3: 05.36.25, kernel 5.4: 05.44.25 https://www.insyde.com/security-pledge/SA-2022049
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en Tasmota (CVE-2022-43294)
Fecha de publicación:
14/11/2022
Idioma:
Español
Se descubrió que Tasmota antes del commit 066878da4d4762a9b6cb169fdf353e804d735cfd contenía un desbordamiento de pila a través del parámetro ClientPortPtr en lib/libesp32/rtsp/CRtspSession.cpp.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/04/2025

Vulnerabilidad en Concrete CMS (CVE-2022-43967)
Fecha de publicación:
14/11/2022
Idioma:
Español
Concrete CMS (anteriormente concrete5) versiones inferiores a 8.5.10 y entre 9.0.0 y 9.1.2 es vulnerable a Reflected XSS en el informe multilingüe debido a una salida no sanitizada. Se corrige actualizando a Concrete CMS 9.1.3+ o 8.5.10+.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025

Vulnerabilidad en Concrete CMS (CVE-2022-43968)
Fecha de publicación:
14/11/2022
Idioma:
Español
Concrete CMS (anteriormente concrete5) anterior a 8.5.10 y entre 9.0.0 y 9.1.2 es vulnerable a XSS reflejado en los íconos del tablero debido a resultados no sanitizados. Se corrige actualizando a Concrete CMS 9.1.3+ o 8.5.10+.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025

Vulnerabilidad en Concrete CMS (CVE-2022-43686)
Fecha de publicación:
14/11/2022
Idioma:
Español
En Concrete CMS (formerly concrete5) versiones anteriores a 8.5.10 y entre 9.0.0 y 9.1.2, la tabla authTypeConcreteCookieMap se puede llenar provocando una denegación de servicio (high load).
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en kernel de Insyde (CVE-2022-30773)
Fecha de publicación:
14/11/2022
Idioma:
Español
Los ataques DMA al búfer de parámetros utilizado por el controlador IhisiSmm podrían cambiar el contenido después de que se hayan verificado los valores de los parámetros pero antes de usarlos (un ataque TOCTOU). Los ataques DMA al búfer de parámetros utilizado por el controlador IhisiSmm podrían cambiar el contenido después de que se hayan verificado los valores de los parámetros pero antes de usarlos (un ataque TOCTOU). Este problema fue descubierto por la ingeniería de Insyde. Este problema se solucionó en Kernel 5.4: 05.44.23 y Kernel 5.5: 05.52.23. CWE-367
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en Insyde InsydeH2O (CVE-2022-32266)
Fecha de publicación:
14/11/2022
Idioma:
Español
Los ataques DMA al búfer de parámetros utilizado por un controlador SMI de software utilizado por el controlador PcdSmmDxe podrían provocar un ataque TOCTOU al controlador SMI y provocar la corrupción de otros campos ACPI y campos de memoria adyacentes. <br /> Los ataques DMA al búfer de parámetros utilizado por un controlador SMI de software utilizado por el controlador PcdSmmDxe podrían provocar un ataque TOCTOU al controlador SMI y provocar la corrupción de otros campos ACPI y campos de memoria adyacentes.<br /> El ataque requeriría un conocimiento detallado del contenido de la base de datos PCD en la plataforma actual. Este problema fue descubierto por la ingeniería de Insyde durante una revisión de seguridad. Este problema se solucionó en: <br /> Kernel 5.3: 05.36.23<br /> Kernel 5.4: 05.44.23<br /> Kernel 5.5: 05.52.23.<br /> El kernel 5.2 no se ve afectado.<br /> CWE-787 Se descubrió un problema en Insyde InsydeH2O con el kernel 5.0 a 5.5. Los ataques DMA al búfer de parámetros que utiliza un controlador SMI de software (usado por el controlador PcdSmmDxe) podrían provocar un ataque de condición de ejecución TOCTOU en el controlador SMI y provocar la corrupción de otros campos ACPI y campos de memoria adyacentes. El ataque requeriría un conocimiento detallado del contenido de la base de datos PCD en la plataforma actual.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en XPDF v4.04 (CVE-2022-43295)
Fecha de publicación:
14/11/2022
Idioma:
Español
Se descubrió que XPDF v4.04 contenía un desbordamiento de memoria mediante la función FileStream::copy() en xpdf/Stream.cc:795.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025
Suscribirse a Vulnerabilidades