Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en snakeYAML (CVE-2022-38751)
Fecha de publicación:
05/09/2022
Idioma:
Español
El uso de snakeYAML para analizar archivos YAML no confiables puede ser vulnerable a ataques de Denegación de Servicio (DOS). Si el analizador es ejecutado en la entrada suministrada por el usuario, un atacante puede suministrar el contenido que hace que el analizador sea bloqueado por desbordamiento de pila
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2024

Vulnerabilidad en snakeYAML (CVE-2022-38752)
Fecha de publicación:
05/09/2022
Idioma:
Español
El uso de snakeYAML para analizar archivos YAML no confiables puede ser vulnerable a ataques de Denegación de Servicio (DOS). Si el analizador es ejecutado en la entrada suministrada por el usuario, un atacante puede suministrar contenido que hace que el analizador sea bloqueado por desbordamiento de pila
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2024

Vulnerabilidad en la biblioteca tinygltf (CVE-2022-3008)
Fecha de publicación:
05/09/2022
Idioma:
Español
La biblioteca tinygltf usa la función de la biblioteca C wordexp() para llevar a cabo una expansión de la ruta del archivo en rutas no confiables que son proporcionadas desde el archivo de entrada. Esta función permite una inyección de comandos mediante el uso de signos de retroceso. Un atacante podría diseñar una ruta de entrada no confiable que resultaría en una expansión de ruta. Recomendamos actualizar a versión 2.6.0 o al commit 52ff00a38447f06a17eab1caa2cf0730a119c751
Gravedad CVSS v3.1: ALTA
Última modificación:
01/10/2022

Vulnerabilidad en una hoja de cálculo en 123elf Lotus 1-2-3 para Linux, y Lotus 1-2-3 R3 para UNIX y otras plataformas (CVE-2022-39843)
Fecha de publicación:
05/09/2022
Idioma:
Español
123elf Lotus 1-2-3 versiones anteriores a 1.0.0rc3 para Linux, y Lotus 1-2-3 R3 para UNIX y otras plataformas hasta 9.8.2, permiten a atacantes ejecutar código arbitrario por medio de una hoja de cálculo diseñada. Esto ocurre debido a un desbordamiento del búfer en la región stack de la memoria en las rutinas de procesamiento del formato de celdas, como es demostrado en una determinada llamada a la función de process_fmt() que puede ser alcanzada por medio de un elemento w3r_format en un documento wk3
Gravedad CVSS v3.1: ALTA
Última modificación:
09/09/2022

Vulnerabilidad en el archivo drivers/video/fbdev/pxa3xx-gcu.c en la función pxa3xx_gcu_write en el kernel de Linux (CVE-2022-39842)
Fecha de publicación:
05/09/2022
Idioma:
Español
Se ha detectado un problema en el kernel de Linux versiones anteriores a 5.19. En la función pxa3xx_gcu_write en el archivo drivers/video/fbdev/pxa3xx-gcu.c, el parámetro count presenta un conflicto de tipo size_t frente a int, causando un desbordamiento de enteros y omite la comprobación de tamaño. Además, al ser usado como tercer argumento de copy_from_user(), puede producirse un desbordamiento de pila
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/08/2024

Vulnerabilidad en el kit de herramientas Template (CVE-2022-39051)
Fecha de publicación:
05/09/2022
Idioma:
Español
El atacante podría ser capaz de ejecutar código Perl malicioso en el kit de herramientas Template, haciendo que el administrador instale un paquete de 3ª parte no verificado
Gravedad CVSS v3.1: ALTA
Última modificación:
01/10/2022

Vulnerabilidad en el campo de la URL del cliente en OTRS (CVE-2022-39050)
Fecha de publicación:
05/09/2022
Idioma:
Español
Un atacante que haya iniciado sesión en OTRS como usuario administrador puede manipular el campo de la URL del cliente para almacenar código JavaScript que será ejecutado posteriormente por cualquier otro agente cuando haga clic en el enlace de la URL del cliente. Entonces el JavaScript almacenado es ejecutado en el contexto de OTRS. El mismo problema es aplicado al uso de fuentes de datos externas, por ejemplo, bases de datos o ldap
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2022

Vulnerabilidad en el archivo index.php del componente Login en SourceCodester Clinics Patient Management System (CVE-2022-3120)
Fecha de publicación:
05/09/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Clinics Patient Management System. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo index.php del componente Login. La manipulación del argumento user_name conlleva a una inyección sql. El ataque puede ser lanzado remotamente. La explotación ha sido divulgada al público y puede ser usada. El identificador asociado a esta vulnerabilidad es VDB-207847
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/09/2024

Vulnerabilidad en OTRS (CVE-2022-39049)
Fecha de publicación:
05/09/2022
Idioma:
Español
Un atacante que haya iniciado sesión en OTRS como usuario administrador puede manipular la URL para causar una ejecución de JavaScript en el contexto de OTRS
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2022

Vulnerabilidad en Cotonti Siena (CVE-2022-39839)
Fecha de publicación:
05/09/2022
Idioma:
Español
Cotonti Siena versión 0.9.20, permite a administradores conducir ataques de tipo XSS almacenado por medio de un mensaje en el foro
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2022

Vulnerabilidad en Cotonti Siena (CVE-2022-39840)
Fecha de publicación:
05/09/2022
Idioma:
Español
Cotonti Siena versión 0.9.20, permite a administradores conducir ataques de tipo XSS almacenado por medio de un mensaje directo (DM)
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/09/2022

Vulnerabilidad en el archivo utilities/pspp-dump-sav.c en la función read_bytes_internal en PSPP (CVE-2022-39831)
Fecha de publicación:
05/09/2022
Idioma:
Español
Se ha detectado un problema en PSPP versión 1.6.2. Se presenta un desbordamiento de búfer en la región heap de la memoria en la función read_bytes_internal en el archivo utilities/pspp-dump-sav.c, que permite a atacantes causar una denegación de servicio (bloqueo de la aplicación) o posiblemente tener otro impacto no especificado. Este problema es diferente de CVE-2018-20230
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades