Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Payara (CVE-2022-37422)
Fecha de publicación:
18/08/2022
Idioma:
Español
Payara versiones hasta 5.2022.2, permite un salto de directorio sin autenticación. Esto afecta a Payara Server, Payara Micro y Payara Server Embedded.
Gravedad CVSS v3.1: ALTA
Última modificación:
20/08/2022

Vulnerabilidad en el archivo p_lx_elf.cpp en la función invert_pt_dynamic() en UPX (CVE-2020-27787)
Fecha de publicación:
18/08/2022
Idioma:
Español
Se ha encontrado un fallo de segmentación en UPX en la función invert_pt_dynamic() en el archivo p_lx_elf.cpp. Un atacante con un archivo de entrada diseñado permite el acceso a direcciones de memoria no válidas que podría conllevar a una denegación de servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en la extensión de GitOps Tools para VSCode (CVE-2022-35976)
Fecha de publicación:
18/08/2022
Idioma:
Español
La extensión de GitOps Tools para VSCode es basada en kubeconfigs para comunicarse con los clusters de Kubernetes. Una kubeconfig especialmente diseñada conlleva a una ejecución de código arbitrario en nombre del usuario que ejecuta VSCode. Los usuarios que dependen de kubeconfigs generados o alterados por otros procesos o usuarios están afectados por este problema. Tenga en cuenta que la vulnerabilidad es específica de esta extensión, y el mismo kubeconfig no resultaría en la ejecución de código arbitrario cuando es usada con kubectl. usar sólo kubeconfigs confiables es una mitigación segura. Sin embargo, la actualización a la última versión de la extensión sigue siendo muy recomendable.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/08/2022

Vulnerabilidad en el archivo p_lx_elf.cpp en la función PackLinuxElf64::invert_pt_dynamic() en UPX (CVE-2020-27790)
Fecha de publicación:
18/08/2022
Idioma:
Español
Se ha detectado un problema de excepción de punto flotante en UPX en la función PackLinuxElf64::invert_pt_dynamic() del archivo p_lx_elf.cpp. Un atacante con un archivo de entrada diseñado podría desencadenar este problema que podría causar un fallo que conlleva una denegación de servicio. El mayor impacto es la disponibilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en una URL en Vitejs Vite (CVE-2022-35204)
Fecha de publicación:
18/08/2022
Idioma:
Español
Se ha detectado que Vitejs Vite versiones anteriores a v2.9.13, permitía a atacantes llevar a cabo un salto de directorio por medio de una URL diseñada al servicio de la víctima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/08/2022

Vulnerabilidad en el parámetro id HTTP POST en el endpoint res.php en las cámaras térmicas FLIR AX8 (CVE-2022-37061)
Fecha de publicación:
18/08/2022
Idioma:
Español
Todas las cámaras térmicas FLIR AX8 versiones hasta 1.46.16, son vulnerables a una Inyección de Comandos Remotos. Esto puede ser explotado para inyectar y ejecutar comandos shell arbitrarios como usuario root mediante el parámetro id HTTP POST en el endpoint res.php. Una explotación con exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios de root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/10/2025

Vulnerabilidad en las cámaras de sensor térmico FLIR AX8 (CVE-2022-37063)
Fecha de publicación:
18/08/2022
Idioma:
Español
Todas las versiones de las cámaras de sensor térmico FLIR AX8 versiones hasta 1.46.16 incluyéndola, son vulnerables a un ataque de tipo Cross Site Scripting (XSS) debido a un saneo inapropiado de la entrada. Un atacante remoto autenticado puede ejecutar código JavaScript arbitrario en la interfaz de administración web. Una explotación con éxito podría permitir al atacante insertar código JavaScript malicioso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/10/2025

Vulnerabilidad en las cámaras de sensor térmico FLIR AX8 (CVE-2022-37062)
Fecha de publicación:
18/08/2022
Idioma:
Español
Todas las cámaras de sensor térmico FLIR AX8, versiones hasta 1.46.16 incluyéndola, están afectadas por una vulnerabilidad de diseño no seguro debido a una restricción de acceso al directorio inapropiada. Un atacante remoto no autenticado puede explotar esto mediante el envío de un URI que contenga la ruta de la base de datos de usuarios SQLite y descargarla. Una explotación con éxito podría permitir al atacante extraer nombres de usuario y contraseñas con hash.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/10/2025

Vulnerabilidad en un objeto Flux en la extensión de GitOps Tools para VSCode (CVE-2022-35975)
Fecha de publicación:
18/08/2022
Idioma:
Español
La extensión de GitOps Tools para VSCode puede facilitar la administración de objetos Flux. Un objeto Flux especialmente diseñado puede permitir una ejecución de código remota en la máquina que ejecuta la extensión, en el contexto del usuario que está ejecutando VSCode. Los usuarios usando la extensión VSCode para administrar clústeres compartidos entre otros usuarios están afectados por este problema. La única mitigación segura es actualizar a la última versión de la extensión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/08/2022

Vulnerabilidad en el parámetro hidden_id en el archivo /blotter/blotter.php en Barangay Management System (CVE-2022-35175)
Fecha de publicación:
18/08/2022
Idioma:
Español
Se ha detectado que Barangay Management System versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro hidden_id en el archivo /blotter/blotter.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/08/2022

Vulnerabilidad en una carga útil en el campo Tags en Kirby's Starterkit (CVE-2022-35174)
Fecha de publicación:
18/08/2022
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Kirby's Starterkit versión v3.7.0.2, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada inyectada en el campo Tags.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/08/2022

Vulnerabilidad en las cámaras de sensor térmico FLIR AX8 (CVE-2022-37060)
Fecha de publicación:
18/08/2022
Idioma:
Español
Las cámaras de sensor térmico FLIR AX8, versiones hasta 1.46.16 incluyéndola, son vulnerables a un Salto de Directorio debido a una restricción de acceso inapropiada. Un atacante remoto no autenticado puede aprovechar esta situación mediante el envío de una URI que contenga caracteres de salto de directorio para divulgar el contenido de archivos ubicados fuera de la ruta restringida del servidor.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/10/2025
Suscribirse a Vulnerabilidades