Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en DiscoTOC (CVE-2022-39270)
Fecha de publicación:
06/10/2022
Idioma:
Español
DiscoTOC es un componente temático de Discourse que genera una tabla de contenidos para los temas. Los usuarios que pueden crear temas en categorías habilitadas para TOC (y presentan un nivel confiable suficiente - configurado en los ajustes del componente) son capaces de inyectar HTML arbitrario en la página de ese tema. El problema ha sido corregido en la rama "main". Los administradores pueden actualizar el componente del tema mediante de la Interfaz de Usuario de administración (Customize -> Themes -> Components -> DiscoTOC -> Check for Updates). Como alternativa, los administradores pueden deshabilitar temporalmente el componente temático DiscoTOC
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/11/2022

Vulnerabilidad en PJSIP (CVE-2022-39269)
Fecha de publicación:
06/10/2022
Idioma:
Español
PJSIP es una librería de comunicación multimedia gratuita y de código abierto escrita en C. Cuando procesa determinados paquetes, PJSIP puede cambiar incorrectamente de usar el transporte de medios SRTP a usar RTP básico al reiniciar SRTP, causando que los medios sean enviados de forma no segura. La vulnerabilidad afecta a todos los usuarios de PJSIP que usan SRTP. El parche está disponible como commit d2acb9a en la rama maestra del proyecto y será incluida en versión 2.13. Se recomienda a usuarios aplicar el parche manualmente o actualizar. No se presentan mitigaciones conocidas para esta vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/02/2023

Vulnerabilidad en MyBB (CVE-2022-39265)
Fecha de publicación:
06/10/2022
Idioma:
Español
MyBB es un software de foros gratuito y de código abierto. El valor de la configuración de _Mail_ ? Additional Parameters for PHP's mail() function mail_parameters setting value, en relación con las opciones y el comportamiento del programa de correo configurado, puede permitir el acceso a información sensible y la ejecución remota de código (RCE). El módulo vulnerable requiere acceso al CP de administrador con el permiso `_Can manage settings?_` y puede depender de los permisos de los archivos configurados. MyBB 1.8.31 resuelve este problema con el commit `0cd318136a`. Se recomienda a los usuarios que actualicen. No hay soluciones conocidas para esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el analizador de PJSIP, el descodificador RTP de PJMEDIA y el analizador SDP de PJMEDIA en PJSIP (CVE-2022-39244)
Fecha de publicación:
06/10/2022
Idioma:
Español
PJSIP es una biblioteca de comunicación multimedia gratuita y de código abierto escrita en C. En las versiones de PJSIP anteriores a 2.13, el analizador de PJSIP, el descodificador RTP de PJMEDIA y el analizador SDP de PJMEDIA están afectados por una vulnerabilidad de desbordamiento de búfer. Los usuarios que son conectados a clientes no confiables están en riesgo. Este problema ha sido parcheado y está disponible como commit c4d3498 en la rama master y será incluida en las versiones 2.13 y posteriores. Es recomendado a usuarios actualizar. No se presentan mitigaciones conocidas para este problema
Gravedad CVSS v3.1: ALTA
Última modificación:
04/11/2025

Vulnerabilidad en el paquete "github.com/sylabs/sif/v2/pkg/integrity" en syslabs/sif (CVE-2022-39237)
Fecha de publicación:
06/10/2022
Idioma:
Español
syslabs/sif es la implementación de referencia del Formato de Imagen de Singularidad (SIF). En las versiones anteriores a 2.8.1, el paquete "github.com/sylabs/sif/v2/pkg/integrity" no verificaba que los algoritmos hash usados fueran criptográficamente seguros cuando eran verificadas las firmas digitales. Se presenta un parche disponible en versiones posteriores a v2.8.1 incluyéndola, del módulo. Es recomendado a usuarios actualizar. Los usuarios que no puedan actualizarse pueden comprobar de forma independiente que los algoritmos de hash usados para el resumen de metadatos y el hash de la firma son criptográficamente seguros
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/07/2023

Vulnerabilidad en Dex (CVE-2022-39222)
Fecha de publicación:
06/10/2022
Idioma:
Español
Dex es un servicio de identidad que usa OpenID Connect para impulsar la autenticación de otras aplicaciones. Las instancias de Dex con clientes públicos (y por extensión, los clientes que aceptan tokens emitidos por esas instancias de Dex) están afectadas por esta vulnerabilidad si están ejecutando una versión anterior a la 2.35.0. Un atacante puede explotar esta vulnerabilidad al hacer que una víctima navegue a un sitio web malicioso y guiándola mediante el flujo OIDC, robando el código de autorización OAuth en el proceso. El código de autorización puede entonces ser intercambiado por el atacante por un token, consiguiendo acceso a las aplicaciones que aceptan ese token. La versión 2.35.0 ha introducido una corrección para este problema. Es recomendado a usuarios actualizar. No se presentan mitigaciones conocidas para este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/07/2023

Vulnerabilidad en IBM Robotic Process Automation para Cloud Pak (CVE-2022-38709)
Fecha de publicación:
06/10/2022
Idioma:
Español
IBM Robotic Process Automation versiones 21.0.1, 21.0.2 y 21.0.3 para Cloud Pak, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 234291
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2022

Vulnerabilidad en Aruba InstantOS, ArubaOS (CVE-2022-37888)
Fecha de publicación:
06/10/2022
Idioma:
Español
Se presentan vulnerabilidades de desbordamiento de búfer en múltiples servicios subyacentes que podrían conllevar a una ejecución de código remoto no autenticado mediante el envío de paquetes especialmente diseñados destinados al puerto UDP de PAPI (protocolo de gestión de AP de Aruba Networks) (8211). Una explotación con éxito de estas vulnerabilidades resulta en la capacidad de ejecutar código arbitrario como un usuario privilegiado en el sistema operativo subyacente de Aruba InstantOS versiones 6.4.x: 6.4.4.8-4.2.4.20 y anteriores; Aruba InstantOS 6.5.x: 6.5.4.23 y anteriores; Aruba InstantOS 8. 6.x: 8.6.0.18 y anteriores; Aruba InstantOS 8.7.x: 8.7.1.9 y anteriores; Aruba InstantOS 8.10.x: 8.10.0.1 y anteriores; ArubaOS 10.3.x: 10.3.1.0 y anteriores; Aruba ha publicado actualizaciones para Aruba InnstantOS que abordan estas vulnerabilidades de seguridad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/12/2022

Vulnerabilidad en IBM Robotic Process Automation (CVE-2022-36774)
Fecha de publicación:
06/10/2022
Idioma:
Español
IBM Robotic Process Automation versiones 21.0.0, 21.0.1 y 21.0.2, es vulnerable a ataques de tipo man in the middle mediante la manipulación de la configuración del proxy del cliente. IBM X-Force ID: 233575
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en la funcionalidad delete template en Zinc (CVE-2022-32172)
Fecha de publicación:
06/10/2022
Idioma:
Español
En Zinc, versiones v0.1.9 hasta v0.3.1, son vulnerables a un ataque de tipo Cross-Site Scripting Almacenado cuando es usada la funcionalidad delete template. Cuando un usuario autenticado elimina una plantilla con una carga útil de tipo XSS en el campo name, la carga útil Javascript será ejecutada y permitirá a un atacante acceder a las credenciales del usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la funcionalidad delete user en Zinc (CVE-2022-32171)
Fecha de publicación:
06/10/2022
Idioma:
Español
En Zinc, versiones v0.1.9 hasta v0.3.1, son vulnerables a un ataque de tipo Cross-Site Scripting Almacenado cuando es usada la funcionalidad delete user. Cuando un usuario autenticado elimina un usuario que presenta una carga útil de tipo XSS en el campo user id, la carga útil javascript será ejecutada y permitirá a un atacante acceder a las credenciales del usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en chkstat de SUSE Linux Enterprise Server, openSUSE Leap, openSUSE Leap, openSUSE Leap Micro (CVE-2022-31252)
Fecha de publicación:
06/10/2022
Idioma:
Español
Una vulnerabilidad de autorización incorrecta en chkstat de SUSE Linux Enterprise Server versión 12-SP5; openSUSE Leap versión 15.3, openSUSE Leap versión 15.4, openSUSE Leap Micro versión 5.2, no tenía en cuenta los componentes de la ruta de escritura del grupo, lo que permitía a atacantes locales con acceso a un grupo lo que puede escribir en una ubicación incluida en la ruta de un binario privilegiado para influir en la resolución de la ruta. Este problema afecta a: SUSE Linux Enterprise Server 12-SP5 versiones de permisos anteriores a 20170707. openSUSE Leap 15.3 versiones de permisos anteriores a 20200127. openSUSE Leap 15.4 versiones de permisos anteriores a 20201225. openSUSE Leap Micro 5.2 versiones de permisos anteriores a 20181225
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2022
Suscribirse a Vulnerabilidades