Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en syngo Dynamics (CVE-2022-42734)
Fecha de publicación:
17/11/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en syngo Dynamics (todas las versiones < VA40G HF01). El servidor de aplicaciones syngo Dynamics aloja un servicio web mediante una operación con control de acceso de escritura inadecuado que podría permitir escribir datos en cualquier carpeta accesible a la cuenta asignada al grupo de aplicaciones del sitio web.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2025

Vulnerabilidad en syngo Dynamics (CVE-2022-42891)
Fecha de publicación:
17/11/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en syngo Dynamics (todas las versiones < VA40G HF01). El servidor de aplicaciones syngo Dynamics aloja un servicio web mediante una operación con control de acceso de escritura inadecuado que podría permitir escribir datos en cualquier carpeta accesible a la cuenta asignada al grupo de aplicaciones del sitio web.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2025

Vulnerabilidad en syngo Dynamics (CVE-2022-42892)
Fecha de publicación:
17/11/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en syngo Dynamics (todas las versiones < VA40G HF01). El servidor de aplicaciones syngo Dynamics aloja un servicio web mediante una operación con control de acceso de escritura inadecuado que podría permitir el listado de directorios en cualquier carpeta accesible a la cuenta asignada al grupo de aplicaciones del sitio web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en IBM UrbanCode Deploy (UCD) (CVE-2022-40751)
Fecha de publicación:
17/11/2022
Idioma:
Español
IBM UrbanCode Deploy (UCD) 6.2.7.0 a 6.2.7.17, 7.0.0.0 a 7.0.5.12, 7.1.0.0 a 7.1.2.8 y 7.2.0.0 a 7.2.3.1 podría permitir a un usuario con privilegios administrativos, incluido "Manage Security" Los permisos pueden recuperar una credencial previamente guardada para realizar búsquedas LDAP autenticadas. ID de IBM X-Force: 236601.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en syngo Dynamics (CVE-2022-42732)
Fecha de publicación:
17/11/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en syngo Dynamics (todas las versiones < VA40G HF01). El servidor de aplicaciones syngo Dynamics aloja un servicio web mediante una operación con control de acceso de lectura inadecuado que podría permitir recuperar archivos desde cualquier carpeta accesible a la cuenta asignada al grupo de aplicaciones del sitio web.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2025

Vulnerabilidad en IBM Business Automation Workflow (CVE-2022-38390)
Fecha de publicación:
17/11/2022
Idioma:
Español
Varias versiones de IBM Business Automation Workflow son vulnerables a Cross-Site Scripting. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría conducir a la divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 233978.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Veritas NetBackup (CVE-2022-45461)
Fecha de publicación:
17/11/2022
Idioma:
Español
La Consola de administración de Java en Veritas NetBackup hasta 10.1 y productos Veritas relacionados en Linux y UNIX permite a usuarios no root autenticados (que se han agregado explícitamente al archivo auth.conf) ejecutar comandos arbitrarios como root.
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2025

Vulnerabilidad en BKG Professional NtripCaster 2.0.39 (CVE-2022-42982)
Fecha de publicación:
17/11/2022
Idioma:
Español
BKG Professional NtripCaster 2.0.39 permite consultar información a través del protocolo UDP sin autenticación. La tabla de origen NTRIP suele ser bastante larga (decenas de kB) y se puede solicitar con un paquete de sólo 30 bytes. Esto presenta un vector que puede usarse para ataques de amplificación UDP. Normalmente, solo se proporcionarán datos de transmisión autenticados a través de UDP y no la tabla de origen.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/04/2025

Vulnerabilidad en extensión ScratchLogin para MediaWiki (CVE-2022-42985)
Fecha de publicación:
17/11/2022
Idioma:
Español
La extensión ScratchLogin hasta la versión 1.1 para MediaWiki no escapa a los mensajes de error de verificación, lo que permite a los usuarios con privilegios de administrador realizar cross-site scripting (XSS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/04/2025

Vulnerabilidad en Keyfactor EJBCA (CVE-2022-42954)
Fecha de publicación:
17/11/2022
Idioma:
Español
Keyfactor EJBCA anterior a 7.10.0 permite XSS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en Amasty Blog Pro 2.10.3 para Magento 2 (CVE-2022-36432)
Fecha de publicación:
17/11/2022
Idioma:
Español
La funcionalidad de vista previa del complemento Amasty Blog Pro 2.10.3 para Magento 2 utiliza eval de forma insegura. Esto permite a los atacantes realizar ataques de Cross-Site Scripting en usuarios del panel de administración manipulando la respuesta de la aplicación de vista previa generada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en PrimeKey EJBCA (CVE-2022-39834)
Fecha de publicación:
17/11/2022
Idioma:
Español
Se descubrió una vulnerabilidad XSS almacenada en adminweb/ra/viewendentity.jsp en PrimeKey EJBCA hasta 7.9.0.2. Un usuario con pocos privilegios puede almacenar JavaScript para explotar a un usuario con mayores privilegios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/04/2025
Suscribirse a Vulnerabilidades