Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Nucleus NET, Nucleus ReadyStart, Nucleus Source Code (CVE-2022-38371)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Nucleus NET (Todas las versiones), Nucleus ReadyStart versión V3 (Todas las versiones), Nucleus Source Code (Versiones que incluyen el servidor FTP afectado). El servidor FTP no libera apropiadamente los recursos de memoria reservados para los intentos de conexión incompletos de los clientes FTP. Esto podría permitir a un atacante remoto generar una condición de denegación de servicio en dispositivos que incorporen una versión vulnerable del servidor FTP
Gravedad CVSS v4.0: ALTA
Última modificación:
08/04/2025

Vulnerabilidad en la familia de controladores SIMATIC (CVE-2022-38465)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en la familia de controladores de accionamiento SIMATIC (todas las versiones anteriores a V2.9.2), SIMATIC ET 200SP Open Controller CPU 1515SP PC (incl. variantes SIPLUS) (todas las versiones), SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. variantes SIPLUS) (todas las versiones anteriores a V21. 9), familia de CPUs SIMATIC S7-1200 (incl. variantes SIPLUS) (Todas las versiones anteriores a V4.5.0), familia de CPUs SIMATIC S7-1500 (incl. CPUs ET200 relacionadas y variantes SIPLUS) (Todas las versiones anteriores a V2.9.2), SIMATIC S7-1500 Software Controller (Todas las versiones anteriores a V21.9), SIMATIC S7-PLCSIM Advanced (Todas las versiones anteriores a V4.0). Los productos afectados protegen la clave privada global incorporada de un modo que ya no puede considerarse suficiente. La clave es usada para la protección heredada de los datos de configuración confidenciales y la comunicación heredada PG/PC y HMI. Esto podría permitir a atacantes detectar la clave privada de una familia de productos de CPU mediante un ataque fuera de línea contra una sola CPU de la familia. Los atacantes podrían entonces usar este conocimiento para extraer datos de configuración confidenciales de los proyectos que están protegidos por esa clave o para llevar a cabo ataques contra la comunicación PG/PC y HMI heredada
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en LOGO! 8 BM (CVE-2022-36361)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en LOGO! 8 BM (incluidas las variantes SIPLUS) (todas las versiones). Los dispositivos afectados no comprueban apropiadamente la estructura de los paquetes TCP en varios métodos. Esto podría permitir a un atacante causar desbordamientos de búfer, conseguir el control del contador de instrucciones y ejecutar código personalizado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/09/2024

Vulnerabilidad en LOGO! 8 BM (CVE-2022-36362)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en LOGO! 8 BM (incluidas las variantes SIPLUS) (todas las versiones). Los dispositivos afectados no conducen determinadas comprobaciones cuando interactúan con ellos. Esto podría permitir a un atacante remoto no autenticado manipular la dirección IP de los dispositivos, lo que significa que el dispositivo no sería alcanzable y sólo podría recuperarse mediante un ciclo de alimentación del dispositivo
Gravedad CVSS v3.1: ALTA
Última modificación:
08/10/2024

Vulnerabilidad en LOGO! 8 BM (CVE-2022-36363)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en LOGO! 8 BM (incluidas las variantes SIPLUS) (todas las versiones). Los dispositivos afectados no comprueban apropiadamente un valor de desplazamiento que puede ser definido en paquetes TCP cuando es llamado a un método. Esto podría permitir a un atacante recuperar partes del contenido de la memoria
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2024

Vulnerabilidad en los archivos DWG en Solid Edge (CVE-2022-37864)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Solid Edge (todas las versiones anteriores a SE2022MP9). La aplicación afectada contiene una escritura fuera de límites más allá del búfer de longitud fija en la región heap de la memoria mientras analiza archivos DWG especialmente diseñados. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual. (ZDI-CAN-17627)
Gravedad CVSS v3.1: ALTA
Última modificación:
12/10/2022

Vulnerabilidad en Industrial Edge Management (CVE-2022-40147)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Industrial Edge Management (Todas las versiones anteriores a V1.5.1). El software afectado no comprueba apropiadamente el certificado del servidor cuando es iniciada una conexión TLS. Esto podría permitir a un atacante falsificar una entidad confiable interfiriendo en la ruta de comunicación entre el cliente y el servidor previsto
Gravedad CVSS v3.1: ALTA
Última modificación:
12/10/2022

Vulnerabilidad en múltiples dispositivos Desigo (CVE-2022-40182)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Desigo PXM30-1 (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM30.E (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM40-1 (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM40.E (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM50-1 (Todas las versiones anteriores a V02. 20.126.11-41), Desigo PXM50.E (Todas las versiones anteriores a V02.20.126.11-41), PXG3.W100-1 (Todas las versiones anteriores a V02.20.126.11-37), PXG3.W100-2 (Todas las versiones anteriores a V02.20.126.11-41), PXG3.W200-1 (Todas las versiones anteriores a V02.20.126.11-37), PXG3.W200-2 (Todas las versiones anteriores a V02.20.126.11-41). El navegador basado en Chromium embebido en el dispositivo es lanzado como root con la opción "--no-sandbox". Los atacantes pueden añadir código JavaScript arbitrario dentro de los gráficos de "Operation" y explotar con éxito cualquier número de vulnerabilidades públicamente conocidas contra la versión del navegador incrustado basado en Chromium
Gravedad CVSS v3.1: ALTA
Última modificación:
12/10/2022

Vulnerabilidad en múltiples dispositivos Desigo (CVE-2022-40177)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Desigo PXM30-1 (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM30.E (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM40-1 (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM40.E (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM50-1 (Todas las versiones anteriores a V02. 20.126.11-41), Desigo PXM50.E (Todas las versiones anteriores a V02.20.126.11-41), PXG3.W100-1 (Todas las versiones anteriores a V02.20.126.11-37), PXG3.W100-2 (Todas las versiones anteriores a V02.20.126.11-41), PXG3.W200-1 (Todas las versiones anteriores a V02.20.126.11-37), PXG3.W200-2 (Todas las versiones anteriores a V02.20.126.11-41). Los endpoints de la aplicación web "Operación" que interpretan y ejecutan consultas en lenguaje Axon permiten el acceso de lectura de archivos al sistema de archivos del dispositivo privilegiado de root. Al suministrar consultas específicas de Axon relacionadas con la E/S, un atacante remoto poco privilegiado puede leer archivos confidenciales en el dispositivo
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/10/2022

Vulnerabilidad en múltiples dispositivos Desigo (CVE-2022-40176)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Desigo PXM30-1 (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM30.E (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM40-1 (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM40.E (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM50-1 (Todas las versiones anteriores a V02. 20.126.11-41), Desigo PXM50.E (Todas las versiones anteriores a V02.20.126.11-41), PXG3.W100-1 (Todas las versiones anteriores a V02.20.126.11-37), PXG3.W100-2 (Todas las versiones anteriores a V02.20.126.11-41), PXG3.W200-1 (Todas las versiones anteriores a V02.20.126.11-37), PXG3.W200-2 (Todas las versiones anteriores a V02.20.126.11-41). Se presenta una Neutralización Inapropiada de los Elementos Especiales usados en un Comando del Sistema Operativo privilegiado de root durante una operación de restauración, debido a una falta de comprobación de los nombres de los archivos incluidos en el paquete de entrada. Al restaurar un paquete específicamente diseñado, un atacante remoto poco privilegiado puede ejecutar comandos arbitrarios del sistema privilegiado de root en el dispositivo, conllevando a un compromiso total
Gravedad CVSS v3.1: ALTA
Última modificación:
12/10/2022

Vulnerabilidad en la funcionalidad "Import Files" en múltiples dispositivos Desigo (CVE-2022-40180)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Desigo PXM30-1 (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM30.E (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM40-1 (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM40.E (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM50-1 (Todas las versiones anteriores a V02. 20.126.11-41), Desigo PXM50.E (Todas las versiones anteriores a V02.20.126.11-41), PXG3.W100-1 (Todas las versiones anteriores a V02.20.126.11-37), PXG3.W100-2 (Todas las versiones anteriores a V02.20.126.11-41), PXG3.W200-1 (Todas las versiones anteriores a V02.20.126.11-37), PXG3.W200-2 (Todas las versiones anteriores a V02.20.126.11-41). Se presenta una vulnerabilidad de tipo Cross-Site Request Forgery en la funcionalidad "Import Files" de la aplicación web "Operation" debido a una falta de comprobación de tokens anti-CSRF u otras comprobaciones de origen. Un atacante remoto no autenticado puede cargar y habilitar código JavaScript arbitrario permanente en el dispositivo con sólo convencer a una víctima de que visite una página web específicamente diseñada mientras está conectado a la aplicación web del dispositivo
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/10/2022

Vulnerabilidad en los endpoints de la aplicación web "Operation" en múltiples dispositivos Desigo (CVE-2022-40179)
Fecha de publicación:
11/10/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en Desigo PXM30-1 (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM30.E (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM40-1 (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM40.E (Todas las versiones anteriores a V02.20.126.11-41), Desigo PXM50-1 (Todas las versiones anteriores a V02. 20.126.11-41), Desigo PXM50.E (Todas las versiones anteriores a V02.20.126.11-41), PXG3.W100-1 (Todas las versiones anteriores a V02.20.126.11-37), PXG3.W100-2 (Todas las versiones anteriores a V02.20.126.11-41), PXG3.W200-1 (Todas las versiones anteriores a V02.20.126.11-37), PXG3.W200-2 (Todas las versiones anteriores a V02.20.126.11-41). Se presenta una vulnerabilidad de tipo Cross-Site Request Forgery en los endpoints de la aplicación web "Operation" que interpretan y ejecutan consultas en lenguaje Axon, debido a que no han sido comprobados los tokens anti-CSRF u otras comprobaciones de origen. Al convencer a una víctima de hacer clic en un enlace malicioso o visitar una página web específicamente diseñada mientras está conectado a la aplicación web del dispositivo, un atacante remoto no autenticado puede ejecutar consultas arbitrarias de Axon contra el dispositivo
Gravedad CVSS v3.1: ALTA
Última modificación:
12/10/2022
Suscribirse a Vulnerabilidades