Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el módulo de importación de datos en Heartex - Label Studio Community Edition (CVE-2022-36551)
Fecha de publicación:
03/10/2022
Idioma:
Español
Una vulnerabilidad de tipo Server Side Request Forgery (SSRF) en el módulo de importación de datos en Heartex - Label Studio Community Edition versiones 1.5.0 y anteriores, permite a un usuario autenticado acceder a archivos arbitrarios en el sistema. Además, el auto registro está habilitado por defecto en estas versiones de Label Studio, permitiendo a un atacante remoto crear una nueva cuenta y luego explotar una vulnerabilidad de tipo SSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2023

Vulnerabilidad en DedeCMS (CVE-2022-40886)
Fecha de publicación:
03/10/2022
Idioma:
Español
DedeCMS versión 5.7.98, presenta una vulnerabilidad de descarga de archivos en segundo plano
Gravedad CVSS v3.1: ALTA
Última modificación:
04/10/2022

Vulnerabilidad en Microsoft Exchange Server (CVE-2022-41040)
Fecha de publicación:
03/10/2022
Idioma:
Español
Una Vulnerabilidad de Elevación de Privilegios en Microsoft Exchange Server
Gravedad CVSS v3.1: ALTA
Última modificación:
30/10/2025

Vulnerabilidad en Microsoft Exchange Server (CVE-2022-41082)
Fecha de publicación:
03/10/2022
Idioma:
Español
Una Vulnerabilidad de Ejecución de Código Remota en Microsoft Exchange Server
Gravedad CVSS v3.1: ALTA
Última modificación:
30/10/2025

Vulnerabilidad en BeanDeserializer._deserializeFromArray en FasterXML jackson-databind (CVE-2022-42004)
Fecha de publicación:
02/10/2022
Idioma:
Español
En FasterXML jackson-databind versiones anteriores a 2.13.4, el agotamiento de los recursos puede ocurrir debido a una falta de comprobación en BeanDeserializer._deserializeFromArray para impedir el uso de arrays profundamente anidados. Una aplicación es vulnerable sólo con determinadas opciones personalizadas para la deserialización
Gravedad CVSS v3.1: ALTA
Última modificación:
02/12/2022

Vulnerabilidad en los deserializadores de valores primitivos en FasterXML jackson-databind (CVE-2022-42003)
Fecha de publicación:
02/10/2022
Idioma:
Español
En FasterXML jackson-databind anterior a 2.14.0-rc1, puede producirse un agotamiento de recursos debido a la falta de una comprobación en los deserializadores de valores primitivos para evitar el anidamiento de arrays envolventes profundos, cuando la función UNWRAP_SINGLE_VALUE_ARRAYS está activada. Versión de corrección adicional en 2.13.4.1 y 2.12.17.1
Gravedad CVSS v3.1: ALTA
Última modificación:
20/12/2023

Vulnerabilidad en SonicJS (CVE-2022-42002)
Fecha de publicación:
01/10/2022
Idioma:
Español
SonicJS versiones hasta 0.6.0, permite una sobreescritura de archivos. Presenta las siguientes mutaciones que son usadas para actualizar archivos: fileCreate y fileUpdate. Ambas mutaciones pueden ser llamadas sin ningún tipo de autenticación para sobrescribir cualquier archivo en una aplicación SonicJS, conllevando a una Escritura y un Borrado Arbitrario de Archivos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/10/2022

Vulnerabilidad en una petición web en Orchest (CVE-2022-39268)
Fecha de publicación:
30/09/2022
Idioma:
Español
### Impacto En un ataque de tipo CSRF, un usuario final inocente es engañado por un atacante para que envíe una petición web que no pretendía. Esto puede causar que sean llevado a cabo acciones en el sitio web que pueden incluir la filtración inadvertida de datos del cliente o del servidor, el cambio del estado de la sesión o la manipulación de la cuenta de un usuario final. ### Parche Actualice a versión 2022.09.10 para parchear esta vulnerabilidad. ### Mitigaciones Reconstruya y redistribuya el Orchest "auth-server" con este commit: https://github.com/orchest/orchest/commit/c2587a963cca742c4a2503bce4cfb4161bf64c2d ### Referencias https://en.wikipedia.org/wiki/Cross-site_request_forgery https://cwe.mitre.org/data/definitions/352.html ### Para más información Si presenta alguna pregunta o comentario sobre este aviso: * Abra una incidencia en https://github.com/orchest/orchest * Envíenos un correo electrónico a rick@orchest.io
Gravedad CVSS v3.1: ALTA
Última modificación:
04/10/2022

Vulnerabilidad en Dell Hybrid Client (CVE-2022-34429)
Fecha de publicación:
30/09/2022
Idioma:
Español
Dell Hybrid Client por debajo versiones anteriores a 1.8, contiene una vulnerabilidad de "Zip Slip" en la Interfaz de Usuario. Un atacante con privilegios de invitado podría explotar esta vulnerabilidad, conllevando a una modificación de los archivos del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
05/10/2022

Vulnerabilidad en Dell Hybrid Client (CVE-2022-34428)
Fecha de publicación:
30/09/2022
Idioma:
Español
Dell Hybrid Client versiones anteriores a 1.8, contiene una vulnerabilidad de Denegación de Servicio por Expresión Regular en la Interfaz de Usuario. Un adversario con acceso de administrador del grupo WMS podría explotar esta vulnerabilidad, lo que conllevaría una denegación de servicio temporal
Gravedad CVSS v3.1: BAJA
Última modificación:
21/07/2023

Vulnerabilidad en un archivo MachO en la función LIEF::MachO::SegmentCommand::virtual_address de LIEF (CVE-2022-40923)
Fecha de publicación:
30/09/2022
Idioma:
Español
Una vulnerabilidad en la función LIEF::MachO::SegmentCommand::virtual_address de LIEF versión v0.12.1, permite a atacantes causar una denegación de servicio (DOS) mediante de un fallo de segmentación por medio de un archivo MachO diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2025

Vulnerabilidad en el archivo bwdate-report-ds.php en Dairy Farm Shop Management System (CVE-2022-40943)
Fecha de publicación:
30/09/2022
Idioma:
Español
Dairy Farm Shop Management System versión 1.0, es vulnerable a una inyección de SQL por medio del archivo bwdate-report-ds.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/05/2025
Suscribirse a Vulnerabilidades