Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en system.asp / start_apply.htm en Asus RT-N12E (CVE-2020-23648)
Fecha de publicación:
19/10/2022
Idioma:
Español
Asus RT-N12E versión 2.0.0.39, está afectado por una vulnerabilidad de control de acceso incorrecto. Mediante el archivo system.asp / start_apply.htm, un atacante puede cambiar la contraseña del administrador sin ninguna autenticación
Gravedad CVSS v3.1: ALTA
Última modificación:
09/05/2025

Vulnerabilidad en el archivo tools/lib/bpf/libbpf.c en la función find_prog_by_sec_insn del componente BPF el Kernel de Linux (CVE-2022-3606)
Fecha de publicación:
19/10/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en el Kernel de Linux. Ha sido clasificada como problemática. Afecta a la función find_prog_by_sec_insn del archivo tools/lib/bpf/libbpf.c del componente BPF. La manipulación conlleva a una desreferencia de puntero null. Es recomendado aplicar un parche para corregir este problema. Ha sido asignado el identificador VDB-211749 a esta vulnerabilidad
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025

Vulnerabilidad en el valor de una propiedad de cadena (CVE-2022-42466)
Fecha de publicación:
19/10/2022
Idioma:
Español
En versiones anteriores a 2.0.0-M9, era posible que un usuario final estableciera el valor de una propiedad de cadena editable de un objeto de dominio con un valor que no era modificaba cuando era guardado el valor. En particular, el usuario final podía introducir javascript o algo similar y éste era ejecutado. A partir de esta versión, las cadenas introducidas eran escapadas apropiadamente cuando eran renderizadas
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/05/2025

Vulnerabilidad en el módulo h2 webconsole (CVE-2022-42467)
Fecha de publicación:
19/10/2022
Idioma:
Español
Cuando es ejecutado en modo prototipo, el módulo h2 webconsole (accesible desde el menú Prototipo) es puesto automáticamente a disposición con la capacidad de consultar directamente la base de datos. Ha sido considerado que es más seguro exigir al desarrollador que habilite explícitamente esta capacidad. A partir de la versión 2.0.0-M8, esto puede hacerse usando la propiedad de configuración "isis.prototyping.h2-console.web-allow-remote-access"; la consola web no estará disponible si no es establecida esta configuración. Como protección adicional, el nuevo parámetro de configuración "isis.prototyping.h2-console.generate-random-web-admin-password" (habilitado por defecto) requiere que el administrador use una contraseña generada aleatoriamente para usar la consola. La contraseña es impresa en el registro, como "webAdminPass: xxx" (donde "xxx" es la contraseña. Para volver al comportamiento original, el administrador tendría que establecer estos parámetros de configuración: isis.prototyping.h2-console.web-allow-remote-access=true isis.prototyping.h2-console.generate-random-web-admin-password=false Tenga en cuenta también que la consola web h2 nunca está disponible en modo de producción, por lo que estas salvaguardas son sólo para asegurar que la consola web está asegurada por defecto también en modo prototipo
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/08/2024

Vulnerabilidad en los modelos MVPower CCTV DVR (CVE-2016-20016)
Fecha de publicación:
19/10/2022
Idioma:
Español
Los modelos MVPower CCTV DVR, incluyendo TV-7104HE 1.8.4 115215B9 y TV7108HE, contienen un shell web que es accesible por medio de un URI /shell. Un atacante remoto no autenticado puede ejecutar comandos arbitrarios del sistema operativo como root. Esta vulnerabilidad también ha sido denominado "JAWS webserver RCE" debido al campo del servidor de respuesta HTTP fácilmente identificable. Otras versiones de firmware, al menos desde 2014 hasta 2019, pueden verse afectadas. Esto fue explotado "in the wild" en 2017 hasta 2022
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/05/2025

Vulnerabilidad en el parámetro cli login.cgi en los dispositivos D-Link DSL-2750B (CVE-2016-20017)
Fecha de publicación:
19/10/2022
Idioma:
Español
Los dispositivos D-Link DSL-2750B versiones anteriores a 1.05, permiten una inyección remota de comandos no autenticados por medio del parámetro cli login.cgi, como ha sido explotado "in the wild" en 2016 hasta 2022
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/11/2025

Vulnerabilidad en OcoMon (CVE-2022-40798)
Fecha de publicación:
19/10/2022
Idioma:
Español
OcoMon versión 4.0RC1, es vulnerable a un Control de Acceso Incorrecto. Mediante una petición el usuario puede obtener el correo electrónico real, enviando la misma petición con el correo electrónico correcto es una toma de control de cuenta
Gravedad CVSS v3.1: ALTA
Última modificación:
08/05/2025

Vulnerabilidad en el módulo Document and Media - funcionalidad de carga de archivos en Liferay Digital Experience Platform (CVE-2022-38901)
Fecha de publicación:
19/10/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site scripting (XSS) en el módulo Document and Media - funcionalidad de descarga de archivos en Liferay Digital Experience Platform versión 7.3.10 SP3, permite a atacantes remotos inyectar scripts JS o HTML arbitrarias en el campo description del archivo svg descargado
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/05/2025

Vulnerabilidad en Corsair K63 Wireless (CVE-2022-35860)
Fecha de publicación:
19/10/2022
Idioma:
Español
Una falta de cifrado AES en Corsair K63 Wireless versión 3.1.3, permite a atacantes físicamente próximos inyectar y husmear las pulsaciones de teclas por medio de transmisiones de radio de 2,4 GHz
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/05/2025

Vulnerabilidad en el endpoint addressedit en nopcommerce (CVE-2022-33077)
Fecha de publicación:
19/10/2022
Idioma:
Español
Un problema de control de acceso en nopcommerce versión v4.50.2, permite a atacantes modificar arbitrariamente la dirección de cualquier cliente por medio del endpoint addressedit
Gravedad CVSS v3.1: ALTA
Última modificación:
09/05/2025

Vulnerabilidad en los componentes Members Center, Editorial Membership y Points Recharge en EyouCMS (CVE-2022-41500)
Fecha de publicación:
18/10/2022
Idioma:
Español
Se ha detectado que EyouCMS versión V1.5.9, contiene múltiples vulnerabilidades de tipo Cross-Site Request Forgery (CSRF) por medio de los componentes Members Center, Editorial Membership y Points Recharge
Gravedad CVSS v3.1: ALTA
Última modificación:
15/05/2025

Vulnerabilidad en el archivo /sacco_shield/manage_loan.php en Open Source SACCO Management System (CVE-2022-42218)
Fecha de publicación:
18/10/2022
Idioma:
Español
Open Source SACCO Management System versión v1.0, es vulnerable a una inyección SQL por medio del archivo /sacco_shield/manage_loan.php
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2025
Suscribirse a Vulnerabilidades