Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el agente de Rubrik Backup Service (RBS) para sistemas basados en Linux o Unix en Rubrik CDM (CVE-2022-30984)
Fecha de publicación:
26/08/2022
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en el agente de Rubrik Backup Service (RBS) para sistemas basados en Linux o Unix en Rubrik CDM versiones 7.0.1, 7.0.1-p1, 7.0.1-p2 o 7.0.1-p3 anteriores a CDM 7.0.2-p2, podría permitir a un atacante local obtener privilegios de root mediante el envío de un mensaje diseñado al agente RBS.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/09/2022

Vulnerabilidad en Archer Platform (CVE-2022-37318)
Fecha de publicación:
25/08/2022
Idioma:
Español
Archer Platform versiones 6.9 SP2 P2 anteriores a 6.11 P3 (6.11.0.3) contiene una vulnerabilidad de tipo XSS reflejado. Un usuario remoto no autenticado de Archer podría explotar esta vulnerabilidad al engañar a un usuario de la aplicación víctima para que suministre código JavaScript malicioso a la aplicación web vulnerable. Este código es reflejado en la víctima y es ejecutado por el navegador web en el contexto de la aplicación web vulnerable. Las versiones 6.10 P4 (6.10.0.4) y 6.11 P2 HF4 (6.11.0.2.4) también son versiones corregidas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2022

Vulnerabilidad en Blue Prism Enterprise (CVE-2022-36115)
Fecha de publicación:
25/08/2022
Idioma:
Español
Se ha detectado un problema en Blue Prism Enterprise versiones 6.0 hasta 7.01. En un entorno configurado inapropiadamente que exponga el servidor de aplicaciones de Blue Prism, es posible que un usuario autenticado realice ingeniería inversa del software de Blue Prism y omita los controles de acceso para conseguir una funcionalidad no deseada. Un atacante puede abusar del método CreateProcessAutosave() para inyectar su propia funcionalidad en un proceso de desarrollo. Si (tras una advertencia) un usuario decide recuperar el trabajo no guardado usando la última versión guardada, el código malicioso podría entrar en el flujo de trabajo. Si las etapas de acción del proceso no son revisadas completamente antes de su publicación, esto podría resultar en que el código malicioso sea ejecutado en un entorno de producción.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en Blue Prism Enterprise (CVE-2022-36116)
Fecha de publicación:
25/08/2022
Idioma:
Español
Se ha detectado un problema en Blue Prism Enterprise versiones 6.0 hasta 7.01. En un entorno configurado inapropiadamente que exponga el servidor de aplicaciones de Blue Prism, es posible que un usuario autenticado realice ingeniería inversa del software de Blue Prism y omita los controles de acceso para la función administrativa setValidationInfo. La eliminación de la comprobación aplicada a los procesos de nuevo diseño aumenta la posibilidad de ocultar con éxito el código malicioso que podría ejecutarse en un entorno de producción.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en Blue Prism Enterprise (CVE-2022-36117)
Fecha de publicación:
25/08/2022
Idioma:
Español
Se ha detectado un problema en Blue Prism Enterprise versiones 6.0 hasta 7.01. En un entorno configurado inapropiadamente que expone el servidor de aplicaciones de Blue Prism, es posible que un usuario autenticado realice ingeniería inversa del software de Blue Prism y omita los controles de acceso para una función administrativa. Si el acceso a las credenciales está configurado para que sea accesible por una máquina o el grupo de seguridad de recursos en tiempo de ejecución, mediante ingeniería inversa adicional, un atacante puede suplantar una máquina conocida y solicitar credenciales cifradas conocidas para descifrarlas posteriormente.
Gravedad CVSS v3.1: BAJA
Última modificación:
08/08/2023

Vulnerabilidad en Blue Prism Enterprise (CVE-2022-36118)
Fecha de publicación:
25/08/2022
Idioma:
Español
Se ha detectado un problema en Blue Prism Enterprise versiones 6.0 hasta 7.01. En un entorno configurado inapropiadamente que exponga el servidor de aplicaciones de Blue Prism, es posible que un usuario autenticado realice ingeniería inversa del software de Blue Prism y omita los controles de acceso para la función administrativa SetProcessAttributes. El abuso de esta función permitirá a cualquier usuario de Blue Prism publicar, despublicar o retirar procesos. Usando esta función, cualquier usuario conectado puede cambiar el estado de un proceso, una acción permitida sólo para usuarios con el permiso de Editar Proceso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en los dispositivos Nortek Linear eMerge E3-Series (CVE-2022-31798)
Fecha de publicación:
25/08/2022
Idioma:
Español
Los dispositivos Nortek Linear eMerge E3-Series versión 0.32-07p, son vulnerables a /card_scan.php?CardFormatNo= XSS con fijación de sesión (por medio de PHPSESSID) cuando están encadenados. Esto permitiría a un atacante tomar el control de una cuenta de administrador o de usuario.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en Blue Prism Enterprise (CVE-2022-36119)
Fecha de publicación:
25/08/2022
Idioma:
Español
Se ha detectado un problema en Blue Prism Enterprise versiones 6.0 hasta 7.01. En un entorno configurado inapropiadamente que expone el servidor de aplicaciones de Blue Prism, es posible que un usuario autenticado en el dominio envíe un mensaje diseñado al servidor de Blue Prism y realice un ataque de ejecución de código remota que es posible debido a una deserialización no segura. La explotación de esta vulnerabilidad permite una ejecución de código en el contexto del servicio Blue Prism Server.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/09/2022

Vulnerabilidad en Archer Platform (CVE-2022-37317)
Fecha de publicación:
25/08/2022
Idioma:
Español
Archer Platform versiones 6.x anteriores a 6.11 P3 contiene una vulnerabilidad de inyección de HTML. Un atacante remoto autenticado podría explotar potencialmente esta vulnerabilidad al engañar a un usuario de la aplicación víctima para ejecutar código malicioso en el contexto de la aplicación web. Las versiones 6.10 P4 (6.10.0.4) y 6.11 P2 HF4 (6.11.0.2.4) también están corregidas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/08/2022

Vulnerabilidad en Archer Platform (CVE-2022-37316)
Fecha de publicación:
25/08/2022
Idioma:
Español
Archer Platform versiones 6.8 anteriores a 6.11 P3 (6.11.0.3) contiene una vulnerabilidad de control de acceso a la API inapropiado en un sistema multi instancia que podría presentar metadatos no autorizados a un usuario autenticado del sistema afectado. 6.10 P3 HF1 (6.10.0.3.1) también es una versión corregida.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/08/2022

Vulnerabilidad en GoSecure Titan Inbox Detection & Response (IDR) (CVE-2022-28747)
Fecha de publicación:
25/08/2022
Idioma:
Español
Un reúso de claves en GoSecure Titan Inbox Detection & Response (IDR) versiones hasta 05-04-2022, conlleva a una ejecución de código remota. Para aprovechar esta vulnerabilidad, un atacante debe diseñar y firmar una carga útil serializada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/09/2022

Vulnerabilidad en ReaderNo en los dispositivos Nortek Linear eMerge E3-Series (CVE-2022-31499)
Fecha de publicación:
25/08/2022
Idioma:
Español
Los dispositivos Nortek Linear eMerge E3-Series versiones anteriores a 0.32-08f, permiten a un atacante no autenticado inyectar comandos del sistema operativo por medio de ReaderNo. NOTA: este problema se presenta debido a una corrección incompleta de CVE-2019-7256.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/09/2022
Suscribirse a Vulnerabilidades