Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el sistema de comprobación de certificaciones de RAVA (CVE-2022-39058)
Fecha de publicación:
18/10/2022
Idioma:
Español
El sistema de comprobación de certificaciones de RAVA, presenta una vulnerabilidad de salto de ruta. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para omitir la autenticación y acceder a archivos arbitrarios del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2022

Vulnerabilidad en el sistema de comprobación de certificados de RAVA (CVE-2022-39057)
Fecha de publicación:
18/10/2022
Idioma:
Español
El sistema de comprobación de certificados de RAVA, presenta un filtrado insuficiente de los parámetros especiales del campo de entrada de la página web. Un atacante remoto con privilegios de administrador puede explotar esta vulnerabilidad para llevar a cabo un comando arbitrario del sistema e interrumpir el servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
27/06/2023

Vulnerabilidad en el sistema de comprobación de certificados de RAVA (CVE-2022-39055)
Fecha de publicación:
18/10/2022
Idioma:
Español
El sistema de comprobación de certificados de RAVA presenta un filtrado inapropiado para el parámetro URL. Un atacante remoto no autenticado puede llevar a cabo un ataque de tipo SSRF para detectar la topología de la red interna basándose en la respuesta de la consulta
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2022

Vulnerabilidad en el componente J-Web del Juniper Networks Junos OS (CVE-2022-22242)
Fecha de publicación:
18/10/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) en el componente J-Web del Juniper Networks Junos OS permite a un atacante no autenticado ejecute scripts maliciosos reflejados desde J-Web al navegador de la víctima en el contexto de su sesión dentro de J-Web. Este problema afecta a todas las versiones de Junos OS anteriores a 19.1R3-S9; a las versiones 19.2 anteriores a 19.2R3-S6; a las versiones 19.3 anteriores a 19.3R3-S7; a las versiones 19.4 anteriores a 19.4R2-S7, 19.4R3-S8; a las versiones 20.1 anteriores a 20.1R3-S5; a las versiones 20.2 anteriores a 20. 2R3-S5; 20.3 versiones anteriores a 20.3R3-S5; 20.4 versiones anteriores a 20.4R3-S4; 21.1 versiones anteriores a 21.1R3-S4; 21.2 versiones anteriores a 21.2R3-S1; 21.3 versiones anteriores a 21.3R3; 21.4 versiones anteriores a 21.4R2; 22.1 versiones anteriores a 22.1R2
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2022

Vulnerabilidad en el componente J-Web del Juniper Networks Junos OS (CVE-2022-22243)
Fecha de publicación:
18/10/2022
Idioma:
Español
Una vulnerabilidad de inyección de XPath debida a una comprobación de entrada inapropiada en el componente J-Web del Juniper Networks Junos OS permite a un atacante autenticado añadir un comando XPath al flujo de XPath, lo que puede permitir el encadenamiento con otras vulnerabilidades no especificadas, conllevando a una pérdida parcial de confidencialidad. Este problema afecta a Juniper Networks Junos OS: todas las versiones anteriores a 19.1R3-S9; las versiones 19.2 anteriores a 19.2R3-S6; las versiones 19.3 anteriores a 19.3R3-S7; las versiones 19.4 anteriores a 19.4R2-S7, 19.4R3-S8; las versiones 20.1 anteriores a 20.1R3-S5; las versiones 20.2 anteriores a 20.2R3-S5; las versiones 20. 3 versiones anteriores a 20.3R3-S5; 20.4 versiones anteriores a 20.4R3-S4; 21.1 versiones anteriores a 21.1R3-S2; 21.2 versiones anteriores a 21.2R3-S1; 21.3 versiones anteriores a 21.3R2-S2, 21.3R3; 21.4 versiones anteriores a 21.4R1-S2, 21.4R2-S1, 21.4R3; 22.1 versiones anteriores a 22.1R1-S1, 22.1R2
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2022

Vulnerabilidad en el componente J-Web del Juniper Networks Junos OS (CVE-2022-22244)
Fecha de publicación:
18/10/2022
Idioma:
Español
Una vulnerabilidad de inyección de XPath en el componente J-Web del Juniper Networks Junos OS permite a un atacante no autenticado que envíe un POST diseñado llegue al canal XPath, lo que puede permitir el encadenamiento con otras vulnerabilidades no especificadas, conllevando a una pérdida parcial de confidencialidad. Este problema afecta a Juniper Networks Junos OS: todas las versiones anteriores a 19.1R3-S9; las versiones 19.2 anteriores a 19.2R3-S6; las versiones 19.3 anteriores a 19.3R3-S7; las versiones 19.4 anteriores a 19.4R3-S9; las versiones 20.1 anteriores a 20.1R3-S5; las versiones 20.2 anteriores a 20.2R3-S5; las versiones 20. 3 versiones anteriores a 20.3R3-S5; 20.4 versiones anteriores a 20.4R3-S4; 21.1 versiones anteriores a 21.1R3-S3; 21.2 versiones anteriores a 21.2R3-S1; 21.3 versiones anteriores a 21.3R3; 21.4 versiones anteriores a 21.4R1-S2, 21.4R2; 22.1 versiones anteriores a 22.1R1-S1, 22.1R2
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2022

Vulnerabilidad en el componente J-Web de Juniper Networks Junos OS (CVE-2022-22245)
Fecha de publicación:
18/10/2022
Idioma:
Español
Una vulnerabilidad de Salto de Ruta en el componente J-Web de Juniper Networks Junos OS permite a un atacante autenticado descargar archivos arbitrarios en el dispositivo saltándose las comprobaciones de comprobación integradas en Junos OS. El atacante no debería poder ejecutar el archivo debido a las comprobaciones de comprobación integradas en Junos OS. La explotación exitosa de esta vulnerabilidad podría conllevar la pérdida de la Integridad del sistema de archivos. Este problema afecta a Juniper Networks Junos OS: todas las versiones anteriores a 19.1R3-S9; las versiones 19.2 anteriores a 19.2R3-S6; las versiones 19.3 anteriores a 19.3R3-S7; las versiones 19.4 anteriores a 19.4R3-S9; las versiones 20.1 anteriores a 20.1R3-S5; las versiones 20.2 anteriores a 20.2R3-S5; las versiones 20. 3 versiones anteriores a 20.3R3-S5; 20.4 versiones anteriores a 20.4R3-S4; 21.1 versiones anteriores a 21.1R3-S2; 21.2 versiones anteriores a 21.2R3-S1; 21.3 versiones anteriores a 21.3R2-S2, 21.3R3; 21.4 versiones anteriores a 21.4R1-S2, 21.4R2-S1, 21.4R3; 22.1 versiones anteriores a 22.1R1-S1, 22.1R2
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2022

Vulnerabilidad en el componente J-Web del Juniper Networks Junos OS (CVE-2022-22246)
Fecha de publicación:
18/10/2022
Idioma:
Español
Una vulnerabilidad de Inclusión de Archivos Locales (LFI) de PHP en el componente J-Web del Juniper Networks Junos OS puede permitir a un atacante autenticado poco privilegiado ejecutar un archivo PHP no confiable. Al encadenar esta vulnerabilidad con otras no especificadas, y al omitir los requisitos de ataque existentes, una explotación con éxito podría conllevar a un compromiso completo del sistema. Este problema afecta a Juniper Networks Junos OS: todas las versiones anteriores a 19.1R3-S9; las versiones 19.2 anteriores a 19.2R3-S6; las versiones 19.3 anteriores a 19.3R3-S6; las versiones 19.4 anteriores a 19.4R2-S7, 19.4R3-S8; las versiones 20.1 anteriores a 20.1R3-S5; las versiones 20.2 anteriores a 20.2R3-S5; las versiones 20. 3 versiones anteriores a 20.3R3-S5; 20.4 versiones anteriores a 20.4R3-S4; 21.1 versiones anteriores a 21.1R3-S2; 21.2 versiones anteriores a 21.2R3-S1; 21.3 versiones anteriores a 21.3R2-S2, 21.3R3; 21.4 versiones anteriores a 21.4R1-S2, 21.4R2-S1, 21.4R3; 22.1 versiones anteriores a 22.1R1-S1, 22.1R2
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2022

Vulnerabilidad en el procesamiento de segmentos TCP de entrada de Juniper Networks Junos OS Evolved (CVE-2022-22247)
Fecha de publicación:
18/10/2022
Idioma:
Español
Una vulnerabilidad de Comprobación de Entrada Inapropiada en el procesamiento de segmentos TCP de entrada de Juniper Networks Junos OS Evolved permite a un atacante no autenticado basado en la red enviar un segmento TCP diseñado al dispositivo, desencadenando un pánico del núcleo, conllevando a una condición de Denegación de Servicio (DoS). La recepción y el procesamiento continuados de este segmento TCP podrían crear una condición de Denegación de Servicio (DoS) sostenida. Este problema afecta a Juniper Networks Junos OS Evolved: versiones 21.3 anteriores a 21.3R3-EVO; versiones 21.4 anteriores a 21.4R2-EVO; versiones 22.1 anteriores a 22.1R2-EVO. Este problema no afecta a las versiones de Junos OS Evolved de Juniper Networks anteriores a 21.3R1-EVO
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2022

Vulnerabilidad en el procesamiento de shell de Juniper Networks Junos OS Evolved (CVE-2022-22248)
Fecha de publicación:
18/10/2022
Idioma:
Español
Una vulnerabilidad de Asignación de Permisos Incorrecta en el procesamiento de shell de Juniper Networks Junos OS Evolved permite a un usuario local poco privilegiado modificar el contenido de un archivo de configuración, lo que podría causar que otro usuario ejecutara comandos arbitrarios en el contexto de la sesión del usuario de seguimiento. Si el usuario de seguimiento es un administrador con altos privilegios, el atacante podría aprovechar esta vulnerabilidad para tomar el control completo del sistema de destino. Mientras que este problema se desencadena cuando un usuario, que no sea el atacante, accede al shell de Junos, un atacante sólo necesita acceder a la CLI de Junos para explotar esta vulnerabilidad. Este problema afecta a Juniper Networks Junos OS Evolved: versiones 20.4-EVO anteriores a 20.4R3-S1-EVO; todas las versiones de 21.1-EVO; versiones 21.2-EVO anteriores a 21.2R3-EVO; versiones 21.3-EVO anteriores a 21.3R2-EVO. Este problema no afecta a las versiones de Junos OS Evolved de Juniper Networks anteriores a 19.2R1-EVO
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2022

Vulnerabilidad en los dispositivos cSRX Series en Junos OS de Juniper Networks (CVE-2022-22251)
Fecha de publicación:
18/10/2022
Idioma:
Español
En los dispositivos cSRX Series, los problemas de permisos de software en el sistema de archivos del contenedor y los archivos almacenados, combinados con el almacenamiento de contraseñas en un formato recuperable en Junos OS de Juniper Networks, permiten a un atacante local poco privilegiado elevar sus permisos para tomar el control de cualquier instancia de una implementación de software cSRX. Este problema afecta a Juniper Networks Junos OS 20.2 versión 20.2R1 y versiones posteriores anteriores a 21.2R1 en cSRX Series
Gravedad CVSS v3.1: ALTA
Última modificación:
21/10/2022

Vulnerabilidad en Packet Forwarding Engine (PFE) de Junos OS de Juniper Networks en la serie MX (CVE-2022-22249)
Fecha de publicación:
18/10/2022
Idioma:
Español
Una vulnerabilidad de Control Inapropiado de un Recurso Mediante su Vida Útil en Packet Forwarding Engine (PFE) de Junos OS de Juniper Networks en la serie MX permite a un atacante adyacente no autenticado causar una Denegación de Servicio (DoS). Cuando se presenta un movimiento continuo de mac, una corrupción de memoria causa que uno o más PFE se bloqueen y sean reiniciados. Estos movimientos de MAC pueden ser entre dos interfaces locales o entre el núcleo/EVPN y la interfaz local. Los siguientes registros de error pueden verse en el syslog del PFE cuando ocurre este problema: xss_event_handler(1071): EA[0:0]_PPE 46.xss[0] ADDR Error. ppe_error_interrupt(4298): EA[0:0]_PPE 46 Errors sync xtxn error xss_event_handler(1071): EA[0:0]_PPE 1.xss[0] ADDR Error. ppe_error_interrupt(4298): EA[0:0]_PPE 1 Errors sync xtxn error xss_event_handler(1071): EA[0:0]_PPE 2.xss[0] Error ADDR. Este problema afecta a Juniper Networks Junos OS en la serie MX: Todas las versiones anteriores a 15.1R7-S13; las versiones 19.1 anteriores a 19.1R3-S9; las versiones 19.2 anteriores a 19.2R3-S6; las versiones 19.3 anteriores a 19.3R3-S6; las versiones 19.4 anteriores a 19.4R2-S7, 19.4R3-S8; la versión 20.1 20. 1R1 y posteriores; 20.2 versiones anteriores a 20.2R3-S5; 20.3 versiones anteriores a 20.3R3-S5; 20.4 versiones anteriores a 20.4R3-S2; 21.1 versiones anteriores a 21.1R3; 21.2 versiones anteriores a 21.2R3; 21.3 versiones anteriores a 21.3R2
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/10/2022
Suscribirse a Vulnerabilidades