Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo drivers/net/hamradio/6pack.c de linux (CVE-2022-1198)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de uso de memoria previamente liberada en el archivo drivers/net/hamradio/6pack.c de linux que permite a un atacante bloquear el kernel de linux al simular el dispositivo ax25 mediante el controlador 6pack desde el espacio de usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2022

Vulnerabilidad en el supervisor Pinniped (CVE-2022-31677)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha detectado un problema de caducidad de sesión insuficiente en el supervisor Pinniped (versiones anteriores a 0.19.0). Un usuario que es autenticado en clusters Kubernetes por medio del Supervisor Pinniped podría usar su token de acceso para continuar su sesión más allá de lo que el uso apropiado de su token de actualización podría permitir
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/09/2022

Vulnerabilidad en Zulip (CVE-2022-35962)
Fecha de publicación:
29/08/2022
Idioma:
Español
Zulip es un equipo de chat de código abierto y Zulip Mobile es una aplicación para usuarios de iOS y Android. En Zulip Mobile versiones hasta 27.189, un enlace diseñado en un mensaje enviado por un usuario autenticado podía conllevar a una revelación de credenciales si un usuario seguía el enlace. Ha sido publicado un parche en versión 27.190
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/09/2022

Vulnerabilidad en dnsmasq (CVE-2022-0934)
Fecha de publicación:
29/08/2022
Idioma:
Español
En dnsmasq ha sido encontrado un fallo de escritura/uso de memoria previamente liberada de un byte no arbitrario. Este fallo permite a un atacante que envíe un paquete diseñado procesado por dnsmasq, causando potencialmente una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en convert2rhel (CVE-2022-0851)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se presenta un fallo en convert2rhel. Cuando es usada la opción --activationkey con convert2rhel, la clave de activación es pasada posteriormente a subscription-manager por medio de la línea de comandos, lo que podría permitir a usuarios no autorizados localmente en la máquina visualizar la clave de activación por medio de la línea de comandos del proceso mediante, por ejemplo, htop o ps. El impacto específico varía según la suscripción, pero generalmente esto permitiría a un atacante registrar sistemas comprados por la víctima hasta que se descubra; una forma de fraude. Esto podría ocurrir independientemente de cómo sea suministrada la clave de activación a convert2rhel, ya que implica la forma en que convert2rhel la proporciona a subscription-manager
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2023

Vulnerabilidad en el archivo fs/locks.c en la función filelock_init del kernel de Linux (CVE-2022-0480)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo en la función filelock_init en el archivo fs/locks.c del kernel de Linux. Este problema puede conllevar a un agotamiento de la memoria del host debido a que memcg no limita el número de bloqueos de archivos de la Interfaz del Sistema Operativo Portátil (POSIX)
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/03/2023

CVE-2022-0644
Fecha de publicación:
29/08/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el demonio del sistema de archivos compartidos de QEMU virtio-fs (virtiofsd) (CVE-2022-0358)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo en la implementación del demonio del sistema de archivos compartidos de QEMU virtio-fs (virtiofsd). Este fallo está estrictamente relacionado con CVE-2018-13405. Un usuario invitado local puede crear archivos en los directorios compartidos por virtio-fs con propiedad de grupo no intencionada en un escenario en el que un directorio es SGID a un determinado grupo y es escribible por un usuario que no es miembro del grupo. Esto podría permitir a un usuario malicioso no privilegiado dentro del huésped conseguir acceso a recursos accesibles al grupo root, escalando potencialmente sus privilegios dentro del huésped. Un usuario local malicioso en el huésped también podría aprovechar este archivo ejecutable no esperado creado por el huésped para escalar sus privilegios en el sistema huésped
Gravedad CVSS v3.1: ALTA
Última modificación:
09/12/2022

Vulnerabilidad en el archivo net/sunrpc/xprtrdma/rpc_rdma.c en el Kernel de Linux (CVE-2022-0812)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo de filtrado de información en NFS sobre RDMA en el archivo net/sunrpc/xprtrdma/rpc_rdma.c en el Kernel de Linux. Este fallo permite a un atacante privilegiado de usuario normales filtrar información del kernel
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2023

Vulnerabilidad en la herramienta de copia "nbdcopy" de libnbd (CVE-2022-0485)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo en la herramienta de copia "nbdcopy" de libnbd. Cuando eran llevado a cabo copias multihilo usando llamadas asíncronas a nbd, nbdcopy trataba ciegamente la finalización de un comando asíncrono como exitosa, en lugar de comprobar el parámetro *error. Esto podía resultar en la creación silenciosa de una imagen de destino corrupta
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2022

Vulnerabilidad en la función ext4_extent_header en el kernel de linux (CVE-2022-0850)
Fecha de publicación:
29/08/2022
Idioma:
Español
Se encontró una vulnerabilidad en el kernel de linux, donde es producido un filtrado de información por medio de la función ext4_extent_header al espacio de usuario
Gravedad CVSS v3.1: ALTA
Última modificación:
05/10/2023

Vulnerabilidad en el DC de Samba AD (CVE-2022-0336)
Fecha de publicación:
29/08/2022
Idioma:
Español
El DC de Samba AD incluye comprobaciones cuando son añadidos nombres de directores de servicio (SPN) a una cuenta para asegurar que los SPN no presentan alias con los que ya están en la base de datos. Algunas de estas comprobaciones pueden omitirse si una modificación de la cuenta vuelve a añadir un SPN que ya estaba presente en esa cuenta, como uno añadido cuando un equipo es unido a un dominio. Un atacante que tenga la capacidad de escribir en una cuenta puede aprovechar esto para llevar a cabo un ataque de denegación de servicio al añadir un SPN que coincida con un servicio existente. Además, un atacante que pueda interceptar el tráfico puede hacerse pasar por los servicios existentes, resultando en una pérdida de confidencialidad e integridad
Gravedad CVSS v3.1: ALTA
Última modificación:
17/09/2023
Suscribirse a Vulnerabilidades