Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en MITRE CALDERA (CVE-2022-40606)
Fecha de publicación:
17/10/2022
Idioma:
Español
MITRE CALDERA versiones anteriores a 4.1.0, permite un ataque de tipo XSS en la pestaña Operations y/o en el plugin Debrief por medio de un nombre de operación diseñado, una vulnerabilidad diferente a la de CVE-2022-40605
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2025

Vulnerabilidad en Rockwell Automation FactoryTalk VantagePoint (CVE-2022-38743)
Fecha de publicación:
17/10/2022
Idioma:
Español
Rockwell Automation FactoryTalk VantagePoint versiones 8.0, 8.10, 8.20, 8.30, 8.31, son susceptibles a una vulnerabilidad de control de acceso inapropiada. La cuenta de FactoryTalk VantagePoint SQL Server podría permitir a un usuario malicioso con privilegios de sólo lectura ejecutar sentencias SQL en la base de datos del back-end. Si es explotado con éxito, esto podría permitir al atacante ejecutar código arbitrario y conseguir acceso a datos restringidos
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2025

Vulnerabilidad en la funcionalidad Software Updater de Avira Security for Windows (CVE-2022-3368)
Fecha de publicación:
17/10/2022
Idioma:
Español
Una vulnerabilidad en la funcionalidad Software Updater de Avira Security for Windows permitía a un atacante con acceso de escritura al sistema de archivos escalar sus privilegios en determinados escenarios. El problema ha sido corregido con Avira Security versión 1.1.72.30556
Gravedad CVSS v3.1: ALTA
Última modificación:
10/05/2025

Vulnerabilidad en el repositorio GitHub boxbilling/boxbilling (CVE-2022-3552)
Fecha de publicación:
17/10/2022
Idioma:
Español
Una Carga no Restringida de Archivos con Tipo Peligroso en el repositorio GitHub boxbilling/boxbilling versiones anteriores a 0.0.1
Gravedad CVSS v3.1: ALTA
Última modificación:
28/03/2023

Vulnerabilidad en app.contact.gist en MITRE CALDERA (CVE-2022-41139)
Fecha de publicación:
17/10/2022
Idioma:
Español
MITRE CALDERA versión 4.1.0 permite un ataque de tipo XSS almacenado por medio de app.contact.gist (también se conoce como el campo de configuración de contactos gist), conllevando a una ejecución de comandos arbitrarios en los agentes
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2025

Vulnerabilidad en MITRE CALDERA (CVE-2022-40605)
Fecha de publicación:
17/10/2022
Idioma:
Español
MITRE CALDERA versiones anteriores a 4.1.0, permite un ataque de tipo XSS en la pestaña Operations y/o en el plugin Debrief por medio de un nombre de operación diseñado, una vulnerabilidad diferente a la de CVE-2022-40606
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2025

Vulnerabilidad en el archivo controller\OnlinePreviewController.java en kkFileView (CVE-2022-42149)
Fecha de publicación:
17/10/2022
Idioma:
Español
kkFileView versión 4.0, es vulnerable a un ataque de tipo Server-side request forgery (SSRF) por medio del archivo controller\OnlinePreviewController.java
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/05/2025

Vulnerabilidad en el directorio "/Applications/Google\ Drive.app/Contents/MacOS" en el instalador de Drive for Desktop (CVE-2022-3421)
Fecha de publicación:
17/10/2022
Idioma:
Español
Un atacante puede pre crear el directorio "/Applications/Google\ Drive.app/Contents/MacOS" que es esperado que sea propiedad de root para que sea propiedad de un usuario no root. Cuando el instalador de Drive for Desktop sea ejecutado por primera vez, colocará un binario en ese directorio con permisos de ejecución y establecerá su bit setuid. Dado que el atacante es el propietario del directorio, puede sustituir el binario por un enlace simbólico, causando que el instalador establezca el bit setuid en el enlace simbólico. Cuando el enlace simbólico sea ejecutado, lo hará con permisos de root. Recomendamos actualizar la versión anterior 64.0
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2022

Vulnerabilidad en HIWIN Robot System Software (CVE-2022-3382)
Fecha de publicación:
17/10/2022
Idioma:
Español
HIWIN Robot System Software versión 3.3.21.9869, no aborda apropiadamente el origen de los comandos terminados. Como resultado, un atacante podría diseñar un código para desconectar el HRSS y el controlador y causar una condición de denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
21/10/2022

Vulnerabilidad en la función braceExpand en el paquete minimatch (CVE-2022-3517)
Fecha de publicación:
17/10/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en el paquete minimatch. Este fallo permite una Denegación de Servicio por Expresión Regular (ReDoS) cuando es llamada a la función braceExpand con argumentos específicos, resultando en una Denegación de Servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2025

Vulnerabilidad en la función inet6_stream_ops/inet6_dgram_ops del componente IPv6 Handler en el Kernel de Linux (CVE-2022-3567)
Fecha de publicación:
17/10/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en el Kernel de Linux y se ha clasificado como problemática. Esta vulnerabilidad afecta a la función inet6_stream_ops/inet6_dgram_ops del componente IPv6 Handler. La manipulación conlleva a una condición de carrera. Es recomendado aplicar un parche para corregir este problema. VDB-211090 es el identificador asignado a esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/06/2023

Vulnerabilidad en la función tcp_getsockopt/tcp_setsockopt del componente TCP Handler en el Kernel de Linux (CVE-2022-3566)
Fecha de publicación:
17/10/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad, clasificada como problemática, en el Kernel de Linux. Afecta a la función tcp_getsockopt/tcp_setsockopt del componente TCP Handler. La manipulación conlleva a una condición de carrera. Es recomendado aplicar un parche para corregir este problema. El identificador VDB-211089 fue asignado a esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2022
Suscribirse a Vulnerabilidades