Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el marco IP del kernel de Linux (CVE-2022-3028)
Fecha de publicación:
31/08/2022
Idioma:
Español
Se ha encontrado una condición de carrera en el marco IP del kernel de Linux para la transformación de paquetes (subsistema XFRM) cuando son producidas simultáneamente varias llamadas a xfrm_probe_algs. Este fallo podría permitir a un atacante local desencadenar potencialmente una escritura fuera de límites o una pérdida de memoria de la pila del kernel al llevar a cabo una lectura fuera de límites y copiarla en un socket
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el subsistema de memoria del kernel de Linux (CVE-2022-2590)
Fecha de publicación:
31/08/2022
Idioma:
Español
Se encontró una condición de carrera en la forma en que el subsistema de memoria del kernel de Linux manejaba la ruptura de copia en escritura (COW) de las asignaciones de memoria compartida privada de sólo lectura. Este fallo permite a un usuario local no privilegiado conseguir acceso de escritura a las asignaciones de memoria de sólo lectura, aumentando sus privilegios en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
26/05/2023

Vulnerabilidad en los PLCs LS Electric de LS Industrial Systems (LSIS) Co. Ltd y del software de programación de PLCs XG5000 (CVE-2022-2758)
Fecha de publicación:
31/08/2022
Idioma:
Español
Las contraseñas no están adecuadamente encriptadas durante el proceso de comunicación entre todas las versiones del software LS Industrial Systems (LSIS) Co. Ltd LS Electric XG5000 anteriores a la V4.0 y los PLC de LS Electric: todas las versiones de XGK-CPUU/H/A/S/E anteriores a la V3. 50, todas las versiones de XGI-CPUU/UD/H/S/E anteriores a V3.20, todas las versiones de XGR-CPUH anteriores a V1.80, todas las versiones de XGB-XBMS anteriores a V3.00, todas las versiones de XGB-XBCH anteriores a V1.90 y todas las versiones de XGB-XECH anteriores a V1.30. Esto permitiría a un atacante identificar y descifrar la contraseña de los PLCs afectados olfateando el tráfico de comunicación del PLC
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2022

Vulnerabilidad en Delta Electronics Delta Robot Automation Studio (DRAS) (CVE-2022-2759)
Fecha de publicación:
31/08/2022
Idioma:
Español
Delta Electronics Delta Robot Automation Studio (DRAS) versiones anteriores a la 1.13.20, están afectadas por restricciones inapropiadas en las que el software procesa un documento XML que puede contener entidades XML con URI que resuelven a documentos fuera del ámbito de control previsto, lo que causa que el producto inserte documentos incorrectos en su salida. Esto puede permitir a un atacante visualizar documentos e información confidenciales en el host afectado
Gravedad CVSS v3.1: ALTA
Última modificación:
02/09/2022

Vulnerabilidad en FATEK FvDesigner (CVE-2022-2866)
Fecha de publicación:
31/08/2022
Idioma:
Español
FATEK FvDesigner versión 1.5.103 y anteriores, es vulnerable a una escritura fuera de límites mientras son procesados archivos de proyecto. Si es engañado a un usuario válido para que use archivos de proyecto mal diseñados, un atacante podría lograr una ejecución de código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
02/09/2022

Vulnerabilidad en Honeywell ControlEdge (CVE-2022-30318)
Fecha de publicación:
31/08/2022
Idioma:
Español
Honeywell ControlEdge versiones hasta R151.1, usa credenciales embebidas. De acuerdo con FSCT-2022-0056, se presenta un problema de credenciales embebidas de Honeywell ControlEdge. Los componentes afectados son caracterizados como: SSH. El impacto potencial es: Ejecución de código Remota, manipulación de la configuración, denegación de servicio. La línea de productos PLC y RTU de Honeywell ControlEdge expone un servicio SSH en el puerto 22/TCP. Es permitido el inicio de sesión como root en este servicio y las credenciales para el usuario root están embebidas sin cambiarlas automáticamente en la primera puesta en marcha. Las credenciales para el servicio SSH están embebidas en el firmware. Las credenciales conceden a un atacante acceso a un shell root en el PLC/RTU, lo que permite una ejecución de código remota, manipulación de la configuración y denegación de servicio
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/09/2022

Vulnerabilidad en Honeywell Experion LX (CVE-2022-30317)
Fecha de publicación:
31/08/2022
Idioma:
Español
Honeywell Experion LX versiones hasta 06-05-2022, presenta una autenticación faltante para una función crítica. Según FSCT-2022-0055, se presenta un problema de acceso a datos de control (CDA) del protocolo EpicMo de Honeywell Experion LX con funcionalidad no autenticada. Los componentes afectados se caracterizan como: Honeywell Control Data Access (CDA) EpicMo (55565/TCP). El impacto potencial es: Manipulación del firmware, Denegación de servicio. El Sistema de Control Distribuido (DCS) Experion LX de Honeywell usa el protocolo de Acceso a Datos de Control (CDA) EpicMo (55565/TCP) para fines de diagnóstico y mantenimiento del dispositivo. Este protocolo no presenta ninguna función de autenticación, lo que permite a cualquier atacante capaz de comunicarse con los puertos en cuestión invocar (un subconjunto de) la funcionalidad deseada. El protocolo en cuestión no presenta ninguna funcionalidad de autenticación. Un atacante capaz de invocar las funcionalidades de los protocolos podría emitir comandos de descarga de firmware permitiendo potencialmente la manipulación del firmware y el reinicio de los dispositivos causando una denegación de servicio
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/02/2024

Vulnerabilidad en Carel pCOWeb HVAC BACnet Gateway (CVE-2022-37122)
Fecha de publicación:
31/08/2022
Idioma:
Español
Carel pCOWeb HVAC BACnet Gateway versión 2.1.0, Firmware: A2.1.0 - B2.1.0, Software de aplicación: 2.15.4A Software versión v16 13020200, sufre una vulnerabilidad de divulgación de archivos arbitraria no autenticada. La entrada que es pasada mediante el parámetro GET "file" mediante el script Bash "logdownload.cgi" no es verificado apropiadamente antes de ser usado para descargar archivos de registro. Esto puede ser aprovechado para divulgar el contenido de archivos arbitrarios y confidenciales por medio de ataques de salto de directorio
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2022

Vulnerabilidad en OpenShift (CVE-2022-2220)
Fecha de publicación:
31/08/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en la implementación de IO-URING en el kernel de Linux (CVE-2022-1976)
Fecha de publicación:
31/08/2022
Idioma:
Español
Se ha encontrado un fallo en la implementación de IO-URING en el kernel de Linux. Este fallo permite a un atacante con permiso de ejecución local crear una cadena de peticiones que puede causar un fallo de uso de memoria previamente liberada dentro del kernel. Este problema conlleva a una corrupción de memoria y una posible escalada de privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
14/02/2023

Vulnerabilidad en Micro Focus ArcSight Logger (CVE-2022-26330)
Fecha de publicación:
31/08/2022
Idioma:
Español
Se han identificado posibles vulnerabilidades en Micro Focus ArcSight Logger. Las vulnerabilidades podrían explotarse de forma remota, resultando en una Divulgación de Información o ataques de tipo Cross-Site Scripting (XSS) propios. Este problema afecta a: Micro Focus ArcSight Logger versiones anteriores a v7.2.2 y versiones anteriores
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el KVM del kernel de Linux (CVE-2022-2153)
Fecha de publicación:
31/08/2022
Idioma:
Español
Se ha encontrado un fallo en el KVM del kernel de Linux cuando es intentado establecer una IRQ SynIC. Este problema hace posible a un VMM que sea comportado inapropiadamente escribir en las MSR de SYNIC/STIMER, causando una desreferencia de puntero NULL. Este fallo permite a un atacante local no privilegiado en el host emitir llamadas ioctl específicas, causando una condición de oops en el kernel que resulta en una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2022
Suscribirse a Vulnerabilidades