Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Hermes (CVE-2022-35289)
Fecha de publicación:
11/10/2022
Idioma:
Español
Una condición write-what-where en Hermes causada por un desbordamiento de enteros, versiones anteriores al commit 5b6255ae049fa4641791e47fad994e8e8c4da374 permite a atacantes ejecutar potencialmente código arbitrario por medio de JavaScript diseñado. Tenga en cuenta que esto sólo es explotable si la aplicación que usa Hermes permite la evaluación de JavaScript no confiable. Por lo tanto, la mayoría de las aplicaciones React Native no están afectadas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/10/2022

Vulnerabilidad en Hermes (CVE-2022-40138)
Fecha de publicación:
11/10/2022
Idioma:
Español
Un error de conversión de enteros en la generación de bytecode de Hermes, anterior al commit 6aa825e480d48127b480b08d13adf70033237097, podría haber sido usado para llevar a cabo operaciones Fuera de Límites y posteriormente ejecutar código arbitrario. Tenga en cuenta que esto sólo es explotable en los casos en que Hermes es usado para ejecutar JavaScript no confiable. Por lo tanto, la mayoría de las aplicaciones React Native no están afectadas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/10/2022

Vulnerabilidad en Hermes (CVE-2022-32234)
Fecha de publicación:
11/10/2022
Idioma:
Español
Una escritura fuera de límites en Hermes, mientras son manejados arrays grandes, antes del commit 06eaec767e376bfdb883d912cb15e987ddf2bda1 permite a atacantes ejecutar potencialmente código arbitrario por medio de JavaScript diseñado. Tenga en cuenta que esto sólo es explotable si la aplicación que usa Hermes permite la evaluación de JavaScript no confiable. Por lo tanto, la mayoría de las aplicaciones React Native no están afectadas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/10/2022

Vulnerabilidad en el producto Network Configuration Manager (CVE-2021-35226)
Fecha de publicación:
10/10/2022
Idioma:
Español
Una entidad del producto Network Configuration Manager está configurada inapropiadamente y expone el campo de la contraseña al Servicio de Información de Solarwinds (SWIS). Las credenciales expuestas están cifradas y requieren un acceso autenticado con un rol de NCM
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/08/2023

Vulnerabilidad en la biblioteca aeson (CVE-2022-3433)
Fecha de publicación:
10/10/2022
Idioma:
Español
La biblioteca aeson no es segura para consumir entradas JSON no confiables. Un usuario remoto podría abusar de este fallo para producir una colisión de hash en la biblioteca subyacente unordered-containers mediante el envío de datos JSON especialmente diseñados, resultando en una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el módulo de prevención de pérdida de datos (DLP) de Trend Micro Apex One (CVE-2022-41748)
Fecha de publicación:
10/10/2022
Idioma:
Español
Una vulnerabilidad de los permisos del registro en el módulo de prevención de pérdida de datos (DLP) de Trend Micro Apex One podría permitir a un atacante local con credenciales administrativas omitir determinados elementos de los mecanismos anti manipulación del producto en las instalaciones afectadas. Nota: un atacante debe obtener primero credenciales administrativas en el sistema de destino para poder explotar esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/10/2022

Vulnerabilidad en los agentes Trend Micro Apex One (CVE-2022-41749)
Fecha de publicación:
10/10/2022
Idioma:
Español
Una vulnerabilidad de error de comprobación de origen en los agentes Trend Micro Apex One podría permitir a un atacante local escalar privilegios en las instalaciones afectadas. Nota: un atacante debe obtener primero la capacidad de ejecutar código poco privilegiado en el sistema de destino para poder explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
11/10/2022

Vulnerabilidad en la función "_ux_host_class_cdc_ecm_mac_address_get" en Azure RTOS USBx (CVE-2022-36063)
Fecha de publicación:
10/10/2022
Idioma:
Español
Azure RTOS USBx es una pila embebida de host, dispositivo y on-the-go (OTG) USB, totalmente integrada con Azure RTOS ThreadX y disponible para todos los procesadores compatibles con Azure RTOS ThreadX. La implementación de Azure RTOS USBX del soporte de host para USB CDC ECM incluye un desbordamiento de entero y un desbordamiento de búfer en la función "_ux_host_class_cdc_ecm_mac_address_get" que puede ser potencialmente explotada para lograr la ejecución remota de código o la denegación de servicio. Establecer la longitud del descriptor de la cadena de direcciones mac a un "0" o "1" permite a un atacante introducir un desbordamiento de enteros seguido (string_length) por un desbordamiento del buffer del array "cdc_ecm -) ux_host_class_cdc_ecm_node_id". Esto puede permitir redirigir el flujo de ejecución del código o introducir una denegación de servicio. La corrección ha sido incluida en USBX versión [6.1.12](https://github.com/azure-rtos/usbx/releases/tag/v6.1.12_rel). Ha sido mejorada la comprobación de la longitud del descriptor de la cadena de direcciones mac para comprobar los valores inesperadamente pequeños, lo que puede usarse como mitigación
Gravedad CVSS v3.1: ALTA
Última modificación:
27/10/2025

Vulnerabilidad en fastify para Node.js (CVE-2022-39288)
Fecha de publicación:
10/10/2022
Idioma:
Español
fastify es un framework web rápido y de baja sobrecarga, para Node.js. Las versiones afectadas de fastify están sujetas a una denegación de servicio por medio del uso malicioso del encabezado Content-Type. Un atacante puede enviar un encabezado Content-Type no válida que puede causar el bloqueo de la aplicación. Este problema ha sido abordado en el commit "fbb07e8d" y será incluido en versión 4.8.1. Es recomendado a usuarios actualizar. Los usuarios que no puedan actualizar pueden filtrar manualmente el contenido http con encabezados Content-Type maliciosos
Gravedad CVSS v3.1: ALTA
Última modificación:
12/10/2022

Vulnerabilidad en IBM Sterling Partner Engagement Manager (CVE-2022-34334)
Fecha de publicación:
10/10/2022
Idioma:
Español
IBM Sterling Partner Engagement Manager versión 2.0, no invalida la sesión después de cerrar la sesión, lo que podría permitir a un usuario autenticado hacerse pasar por otro usuario en el sistema. IBM X-Force ID: 229704
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/10/2022

Vulnerabilidad en el plugin Simple File List de WordPress (CVE-2022-3208)
Fecha de publicación:
10/10/2022
Idioma:
Español
El plugin Simple File List de WordPress versiones anteriores a 4.4.12, no implementa comprobaciones de nonce, lo que podría permitir a atacantes hacer que un administrador conectado cree una nueva página y cambie su contenido por medio de un ataque de tipo CSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2022

Vulnerabilidad en el plugin Woo Billingo Plus de WordPress, el plugin Integration for Billingo & Gravity Forms de WordPress y el plugin Integration for Szamlazz.hu & Gravity Forms de WordPress (CVE-2022-3154)
Fecha de publicación:
10/10/2022
Idioma:
Español
El plugin Woo Billingo Plus de WordPress versiones anteriores a 4.4.5.4, el plugin Integration for Billingo & Gravity Forms de WordPress versiones anteriores a 1.0.4 y el plugin Integration for Szamlazz.hu & Gravity Forms de WordPress versiones anteriores a 1.2.7 carecen de comprobaciones de tipo CSRF en varias acciones AJAX, lo que podría permitir a atacantes hacer que los administradores de tiendas registrados y superiores lleven a cabo acciones no deseadas, como desactivar la licencia del plugin
Gravedad CVSS v3.1: ALTA
Última modificación:
13/10/2022
Suscribirse a Vulnerabilidades