Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en libexpat (CVE-2022-43680)
Fecha de publicación:
24/10/2022
Idioma:
Español
En libexpat versiones hasta 2.4.9, se presenta un uso de memoria previamente liberada causado por la destrucción excesiva de un DTD compartido en XML_ExternalEntityParserCreate en situaciones fuera de memoria
Gravedad CVSS v3.1: ALTA
Última modificación:
30/05/2025

Vulnerabilidad en la serie WTViewerE y WTViewerEfree (CVE-2022-40984)
Fecha de publicación:
24/10/2022
Idioma:
Español
El desbordamiento del búfer en la región stack de la memoria en la serie WTViewerE 761941 desde la 1.31 a 1.61 y WTViewerEfree desde la 1.01 a 1.52, permite a un atacante causar un bloqueo del producto al procesar un nombre de archivo largo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/05/2025

Vulnerabilidad en Android App "IIJ SmartKey" (CVE-2022-41986)
Fecha de publicación:
24/10/2022
Idioma:
Español
Una vulnerabilidad de divulgación de información en Android App "IIJ SmartKey" versiones anteriores a 2.1.4, permite a un atacante obtener una contraseña de un solo uso emitida por el producto bajo determinadas condiciones
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en BookStack (CVE-2022-40690)
Fecha de publicación:
24/10/2022
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting en BookStack versiones anteriores a v22.09, permite a un atacante remoto autenticado inyectar un script arbitrario
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en el instalador de Content Transfer (para Windows) (CVE-2022-41796)
Fecha de publicación:
24/10/2022
Idioma:
Español
Una vulnerabilidad de la ruta de búsqueda no confiable en el instalador de Content Transfer (para Windows) Versiones 1.3 y anteriores, permite a un atacante conseguir privilegios por medio de una DLL troyana en un directorio no especificado
Gravedad CVSS v3.1: ALTA
Última modificación:
07/05/2025

Vulnerabilidad en la aplicación Lemon8 para Android y iOS (CVE-2022-41797)
Fecha de publicación:
24/10/2022
Idioma:
Español
Una autorización inapropiada en el manejador para la vulnerabilidad del esquema de URL personalizado en la aplicación Lemon8 para las versiones de Android anteriores a 3.3.5 y la aplicación Lemon8 para las versiones de iOS anteriores a 3.3.5, permite a un atacante remoto conllevar a un usuario a acceder a un sitio web arbitrario por medio de la aplicación vulnerable. Como resultado, el usuario puede ser víctima de un ataque de phishing
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en GROWI (CVE-2022-41799)
Fecha de publicación:
24/10/2022
Idioma:
Español
Una vulnerabilidad de control de acceso inapropiado en GROWI versiones anteriores a 5.1.4 (serie v5) y versiones anteriores a v4.5.25 (serie v4), que permite a un atacante remoto autenticado omitir la restricción de acceso y descargar los datos de markdown de las páginas establecidas como privadas por los demás usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Gin-vue-admin (CVE-2022-39305)
Fecha de publicación:
24/10/2022
Idioma:
Español
Gin-vue-admin es un sistema de administración de backstage basado en vue y gin, que separa la parte delantera y la trasera de la pila completa. Las versiones anteriores a 2.5.4 contienen una capacidad de descarga de archivos. El código afectado no comprueba los parámetros fileMd5 y fileName, resultando en una lectura de un archivo arbitrario. Este problema está parcheado en versión 2.5.4b. No se presentan mitigaciones conocidas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/10/2022

Vulnerabilidad en Eclipse Openj9 (CVE-2022-3676)
Fecha de publicación:
24/10/2022
Idioma:
Español
En Eclipse Openj9 versiones anteriores a 0.35.0, las llamadas a interfaces pueden ser inlineadas sin una comprobación de tipo en tiempo de ejecución. El código de bytes malicioso podría hacer uso de este inlining para acceder o modificar la memoria por medio de un tipo no compatible
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/05/2025

Vulnerabilidad en Parse Server (CVE-2022-39313)
Fecha de publicación:
24/10/2022
Idioma:
Español
Parse Server es un backend de código abierto que puede desplegarse en cualquier infraestructura que pueda ejecutar Node.js. Las versiones anteriores a 4.10.17, y anteriores a 5.2.8 en la rama 5.x, son bloqueados cuando es recibida una petición de descarga de archivos con un rango de bytes no válido, resultando en una Denegación de Servicio. Este problema ha sido parcheado en versiones 4.10.17 y 5.2.8. No se presentan mitigaciones conocidas
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2023

Vulnerabilidad en Kirby (CVE-2022-39314)
Fecha de publicación:
24/10/2022
Idioma:
Español
Kirby es un CMS de archivo plano. En versiones anteriores a 3.5.8.2, 3.6.6.2, 3.7.5.1 y 3.8.1, Kirby está sujeto a la enumeración de usuarios debido a una restricción inapropiada de intentos de autenticación excesivos. Esta vulnerabilidad sólo afecta si está usando el método de autenticación "code" o "password-reset" con la opción "auth.methods" o si ha activado la opción "debug" en producción. Al usar dos o más direcciones IP y múltiples intentos de inicio de sesión, las cuentas de usuario válidas serán bloqueadas, pero las cuentas no válidas no lo harán, conllevando a una enumeración de cuentas. Este problema ha sido parcheado en versiones 3.5.8.2, 3.6.6.2, 3.7.5.1 y 3.8.1. Si no puede actualizar inmediatamente, puede mitigar el problema al establecer la opción "auth.methods" como "password", lo que deshabilita los formularios de inicio de sesión y de restablecimiento de contraseña basados en código
Gravedad CVSS v3.1: BAJA
Última modificación:
30/01/2026

Vulnerabilidad en Lanner Inc IAC-AST2500A (CVE-2021-4228)
Fecha de publicación:
24/10/2022
Idioma:
Español
Un uso del certificado TLS embebido por defecto permite a un atacante llevar a cabo ataques de tipo Man-in-the-Middle (MitM) incluso en presencia de la conexión HTTPS. Este problema afecta: Lanner Inc IAC-AST2500A versión de firmware estándar 1.00.0
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2023
Suscribirse a Vulnerabilidades