Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el endpoint ConfigurationServlet en Advantech iView (CVE-2022-3323)
Fecha de publicación:
27/09/2022
Idioma:
Español
Una vulnerabilidad de inyección SQL en Advantech iView versión 5.7.04.6469. La falla específica se presenta dentro del endpoint ConfigurationServlet, que escucha en el puerto TCP 8080 por defecto. Un atacante remoto no autenticado puede diseñar un parámetro column_value especial en la acción setConfiguration para omitir las comprobaciones de com.imc.iview.utils.CUtils.checkSQLInjection() y llevar a cabo una inyección SQL. Por ejemplo, el atacante puede explotar la vulnerabilidad para recuperar la contraseña de administrador de iView
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2025

Vulnerabilidad en un archivo ELF en readelf en ToaruOS (CVE-2022-38932)
Fecha de publicación:
27/09/2022
Idioma:
Español
readelf en ToaruOS versión 2.0.1, presenta un desbordamiento global que permite un RCE cuando es analizado un archivo ELF diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2025

Vulnerabilidad en los módulos e-mail template en Vtiger CRM (CVE-2022-38335)
Fecha de publicación:
27/09/2022
Idioma:
Español
Se ha detectado que Vtiger CRM versión v7.4.0, contiene una vulnerabilidad de tipo cross-site scripting (XSS) almacenado por medio de los módulos e-mail template
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2025

Vulnerabilidad en el repositorio de GitHub vim/vim (CVE-2022-3324)
Fecha de publicación:
27/09/2022
Idioma:
Español
Un Desbordamiento del Búfer en la Región Stack de la Memoria en el repositorio de GitHub vim/vim versiones anteriores a 9.0.0598
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en el campo title de los grupos en ISAMS (CVE-2022-37028)
Fecha de publicación:
27/09/2022
Idioma:
Español
ISAMS versión 22.2.3.2, es propenso a un ataque de tipo Cross-site Scripting (XSS) almacenado en el campo title de los grupos, permitiendo a un atacante almacenar una carga útil de JavaScript que será ejecutada cuando otro usuario use la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en JFinal CMS (CVE-2022-37209)
Fecha de publicación:
27/09/2022
Idioma:
Español
JFinal CMS versión 5.1.0, está afectado por: Inyección SQL. Estas interfaces no usan el mismo componente, ni presentan filtros, sino que cada una usa su propio método de concatenación SQL, resultando en una inyección SQL
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2025

Vulnerabilidad en Chipolo ONE Bluetooth tracker (2020) Chipolo iOS app (CVE-2022-37193)
Fecha de publicación:
27/09/2022
Idioma:
Español
Chipolo ONE Bluetooth tracker (2020) Chipolo iOS app versión 4.13.0, es vulnerable a un Control de Acceso Incorrecto. Los dispositivos Chipolo sufren ataques de evasión de revocación de acceso una vez que el sharee malicioso obtiene las credenciales de acceso
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2025

Vulnerabilidad en el plugin EC-CUBE "Product Image Bulk Upload Plugin" (CVE-2022-37346)
Fecha de publicación:
27/09/2022
Idioma:
Español
El plugin EC-CUBE "Product Image Bulk Upload Plugin" versiones 1.0.0 y 4.1.0, contiene una vulnerabilidad de verificación insuficiente cuando se descargan archivos. La explotación de esta vulnerabilidad permite a un atacante remoto no autenticado subir archivos arbitrarios que no sean de imagen. Si un usuario con privilegios administrativos de EC-CUBE donde está instalado el plugin vulnerable es conllevado a subir un archivo especialmente diseñado, un script arbitrario puede ser ejecutado en el sistema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/05/2025

Vulnerabilidad en Strapi (CVE-2022-31367)
Fecha de publicación:
27/09/2022
Idioma:
Español
Strapi versiones anteriores a 3.6.10 y 4.x anteriores a 4.1.10, maneja inapropiadamente los atributos ocultos dentro de las respuestas de la API de administración
Gravedad CVSS v3.1: ALTA
Última modificación:
22/05/2025

Vulnerabilidad en la tarea del temporizador en los dispositivos Realtek RTL8195AM (CVE-2022-34326)
Fecha de publicación:
27/09/2022
Idioma:
Español
En ambiot amb1_sdk (también conocido como SDK para Ameba1) antes de 2022-06-20 en dispositivos Realtek RTL8195AM antes de 284241d70308ff2519e40afd7b284ba892c730a3, la tarea del temporizador y la tarea RX se bloqueaban cuando había fallos frecuentes y continuos de conexión Wi-Fi (con handshake de cuatro vías) en el modo Soft AP
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2025

Vulnerabilidad en el archivo login.php en Resumes Management and Job Application Website application login form por EGavilan Media (CVE-2021-41433)
Fecha de publicación:
27/09/2022
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en versión 1.0 de Resumes Management and Job Application Website application login form por EGavilan Media que permite omitir la autenticación mediante el archivo login.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/05/2025

Vulnerabilidad en Western Digital My Cloud Home, My Cloud Home Duo y SanDisk ibi (CVE-2022-23006)
Fecha de publicación:
27/09/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad de desbordamiento de búfer en la región stack de la memoria en Western Digital My Cloud Home, My Cloud Home Duo y SanDisk ibi que podría permitir a un atacante que acceda al sistema localmente leer información del archivo /etc/version. Esta vulnerabilidad sólo puede ser explotada encadenándola con otro problema. Si un atacante es capaz de conducir un ataque de ejecución de código remota, puede conseguir acceso al archivo vulnerable, debido a una presencia de funciones no seguras en el código. Es requerida una interacción del usuario para la explotación. La explotación de la vulnerabilidad podría resultar en una exposición de información, la posibilidad de modificar archivos, a errores de acceso a la memoria o a bloqueos del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/10/2022
Suscribirse a Vulnerabilidades