Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en uhttpd en el router inalámbrico N300 de Netgear wnr2000v4 (CVE-2022-37232)
Fecha de publicación:
23/09/2022
Idioma:
Español
El router inalámbrico N300 de Netgear wnr2000v4 versión V1.0.0.70, es vulnerable al desbordamiento del búfer por medio de uhttpd. Se presenta una vulnerabilidad de desbordamiento de pila causada por strcpy.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/09/2022

Vulnerabilidad en el binario wl del firmware en el router Gigabit Nighthawk AC1900 Smart WiFi Dual Band R7000 de Netgear (CVE-2022-37235)
Fecha de publicación:
23/09/2022
Idioma:
Español
El router Gigabit Nighthawk AC1900 Smart WiFi Dual Band R7000 versión V1.0.11.134_10.2.119, de Netgear es vulnerable al desbordamiento del búfer por medio del binario wl del firmware. Se presenta una vulnerabilidad de desbordamiento de pila causada por strncat
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2025

Vulnerabilidad en los nombres de nodos o segmentos en HashiCorp Consul (CVE-2021-41803)
Fecha de publicación:
23/09/2022
Idioma:
Español
HashiCorp Consul versiones 1.8.1 hasta 1.11.8, 1.12.4 y 1.13.1, no comprueban apropiadamente los nombres de nodos o segmentos antes de la interpolación y el uso en las aserciones de reclamación JWT con el RPC de configuración automática. Corregido en versiones 1.11.9, 1.12.5 y 1.13.2".
Gravedad CVSS v3.1: ALTA
Última modificación:
27/05/2025

Vulnerabilidad en Crestron AirMedia para Windows (CVE-2022-40298)
Fecha de publicación:
23/09/2022
Idioma:
Español
Crestron AirMedia para Windows versiones anteriores a 5.5.1.84, presenta permisos heredados no seguros, lo que conlleva a una vulnerabilidad de escalada de privilegios encontrada en la aplicación AirMedia Windows, versión 4.3.1.39. Un usuario poco privilegiado puede iniciar una reparación del sistema y conseguir un shell de nivel SYSTEM.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/05/2025

Vulnerabilidad en la función Add Computers en 10-Strike Network Inventory Explorer (CVE-2022-38573)
Fecha de publicación:
23/09/2022
Idioma:
Español
Se ha detectado que 10-Strike Network Inventory Explorer versión v9.3, contiene un desbordamiento del búfer por medio de la función Add Computers.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2025

Vulnerabilidad en el controlador UEFI DXE de algunos productos Hacer (CVE-2022-30426)
Fecha de publicación:
23/09/2022
Idioma:
Español
Se presenta una vulnerabilidad de desbordamiento del búfer de la pila, que podría conllevar a una ejecución de código arbitrario en el controlador UEFI DXE de algunos productos Acer. Un ataque podría explotar esta vulnerabilidad para escalar el privilegio del anillo 3 al anillo 0, y secuestrar el flujo de control durante la ejecución de UEFI DXE. Esto afecta a versiones de firmware Altos T110 F3 versiones anteriores a P13 incluyéndola (más reciente) y AP130 F2 versiones anteriores a P04 incluyéndola (más reciente) y Aspire 1600X versiones anteriores a P11.A3L incluyéndola (más reciente) y Aspire 1602M versiones anteriores a P11.A3L incluyéndola (más reciente) y Aspire 7600U versiones anteriores a P11. A4 incluyéndola (más reciente) y Aspire MC605 versiones de firmware anteriores a P11.A4L incluyéndola (más reciente) y Aspire TC-105 versiones de firmware anteriores a P12.B0L incluyéndola (más reciente) y Aspire TC-120 versiones de firmware anteriores a P11-A4 incluyéndola (más reciente) y Aspire U5-620 versiones de firmware anteriores a P11.A1 incluyéndola (más reciente) y Aspire X1935 versiones de firmware anteriores a P11. A3L incluyéndola (más reciente) y Aspire X3475 versiones de firmware anteriores a P11.A3L incluyéndola (más reciente) y Aspire X3995 versiones de firmware anteriores a P11.A3L incluyéndola (más reciente) y Aspire XC100 versiones de firmware anteriores a P11.B3 incluyéndola (más reciente) y Aspire XC600 versiones de firmware anteriores a P11.A4 incluyéndola (más reciente) y Aspire Z3-615 versiones de firmware anteriores a P11. A2L incluyéndola (más reciente) y Veriton E430G versiones de firmware anteriores a P21.A1 incluyéndola (más reciente) y Veriton B630_49 versiones de firmware anteriores a AAP02SR incluyéndola (más reciente) y Veriton E430 versiones de firmware anteriores a P11.A4 incluyéndola (más reciente) y Veriton M2110G versiones de firmware anteriores a P21.A3 incluyéndola (más reciente) y Veriton M2120G fir.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/05/2025

Vulnerabilidad en una videollamada en WhatsApp (CVE-2022-36934)
Fecha de publicación:
22/09/2022
Idioma:
Español
Un desbordamiento de enteros en WhatsApp podría dar resultar en una ejecución de código remota en una videollamada establecida
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/09/2025

Vulnerabilidad en el router inalámbrico Netgear N300 wnr2000v4 (CVE-2022-31937)
Fecha de publicación:
22/09/2022
Idioma:
Español
Se ha detectado que el router inalámbrico Netgear N300 wnr2000v4 versión V1.0.0.70, contiene un desbordamiento de pila por strcpy en uhttpd
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2025

Vulnerabilidad en las celdas editables en Toast UI Grid (CVE-2022-23458)
Fecha de publicación:
22/09/2022
Idioma:
Español
Toast UI Grid es un componente para mostrar y editar datos. Las versiones anteriores a 4.21.3, son vulnerables a ataques de tipo cross-site scripting cuando es pegado contenido especialmente diseñado en las celdas editables. Este problema ha sido corregido en versión 4.21.3. No se presentan mitigaciones conocidas
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/09/2022

Vulnerabilidad en un archivo PHP en la función file_put_contents() en Simple College Website (CVE-2022-40087)
Fecha de publicación:
22/09/2022
Idioma:
Español
Se ha detectado que Simple College Website versión v1.0, contiene una vulnerabilidad de escritura en archivos arbitrarios por medio de la función file_put_contents(). Esta vulnerabilidad permite a atacantes ejecutar código arbitrario por medio de un archivo PHP diseñado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2025

Vulnerabilidad en el componente /college_website/index.php?page= en Simple College Website (CVE-2022-40088)
Fecha de publicación:
22/09/2022
Idioma:
Español
Se ha detectado que Simple College Website versión v1.0, contiene una vulnerabilidad de tipo cross-site scripting (XSS) reflejado por medio del componente /college_website/index.php?page=. Esta vulnerabilidad permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada inyectada en el parámetro de la página
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2025

Vulnerabilidad en un archivo PHP en Simple College Website (CVE-2022-40089)
Fecha de publicación:
22/09/2022
Idioma:
Español
Una vulnerabilidad de inclusión de archivos remotos (RFI) en Simple College Website versión v1.0 permite a atacantes ejecutar código arbitrario por medio de un archivo PHP diseñado. Esta vulnerabilidad puede aprovecharse cuando la directiva allow_url_include está habilitada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/05/2025
Suscribirse a Vulnerabilidades