Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el código creado por el plugin en el plugin WP Coder de WordPress (CVE-2022-2388)
Fecha de publicación:
22/08/2022
Idioma:
Español
El plugin WP Coder de WordPress versiones anteriores a 2.5.3, no presenta comprobación de tipo CSRF cuando es borrado el código creado por el plugin, lo que podría permitir a atacantes hacer que un administrador con sesión iniciada borre otros arbitrarios por medio de un ataque de tipo CSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/08/2022

Vulnerabilidad en el plugin Student Result o Employee Database de WordPress (CVE-2022-2312)
Fecha de publicación:
22/08/2022
Idioma:
Español
El plugin Student Result o Employee Database de WordPress versiones anteriores a 1.7.5, no presenta CSRF en sus acciones AJAX, lo que permite a atacantes hacer que un usuario con un rol tan bajo como el de colaborador pueda añadir/editar y eliminar estudiantes por medio de ataques de tipo CSRF. Además, debido a una falta de saneo y escape, también podría conllevar a un ataque de tipo Cross-Site scripting Almacenado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2023

Vulnerabilidad en el plugin WP Edit Menu de WordPress (CVE-2022-2276)
Fecha de publicación:
22/08/2022
Idioma:
Español
El plugin WP Edit Menu de WordPress versiones anteriores a 1.5.0, no dispone de autorización y CSRF en una acción AJAX, lo que podría permitir a atacantes no autenticados eliminar entradas/páginas arbitrarias del blog
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/07/2023

Vulnerabilidad en el plugin Abandoned Cart Recovery for WooCommerce, Follow Up Emails, Newsletter Builder & Marketing Automation By Autonami de WordPress (CVE-2022-2389)
Fecha de publicación:
22/08/2022
Idioma:
Español
El plugin Abandoned Cart Recovery for WooCommerce, Follow Up Emails, Newsletter Builder & Marketing Automation By Autonami de WordPress versiones anteriores a 2.1.2, no presenta comprobaciones de autorización y CSRF en una de sus acciones AJAX, lo que permite a cualquier usuario autenticado, como el suscriptor, crear automatizaciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/01/2024

Vulnerabilidad en el plugin Directorist de WordPress (CVE-2022-2377)
Fecha de publicación:
22/08/2022
Idioma:
Español
El plugin Directorist de WordPress versiones anteriores a 7.3.0, carece de comprobaciones de autorización y de tipo CSRF en una acción AJAX, lo que permite a cualquier usuario autenticado enviar correos electrónicos arbitrarios en nombre del blog
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2023

Vulnerabilidad en el plugin Product Slider for WooCommerce de WordPress (CVE-2022-2382)
Fecha de publicación:
22/08/2022
Idioma:
Español
El plugin Product Slider for WooCommerce de WordPress versiones anteriores a 2.5.7, presenta comprobaciones de tipo CSRF fallidas y carece de autorización en algunas de sus acciones AJAX, lo que permite a cualquier usuario autenticado, como el suscriptor, llamarlas. Una en particular podría permitirles eliminar opciones arbitrarias del blog.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2023

Vulnerabilidad en el producto Red Hat OpenShift API Management (CVE-2021-3442)
Fecha de publicación:
22/08/2022
Idioma:
Español
Se ha encontrado un fallo en el producto Red Hat OpenShift API Management. Las entradas del usuario no son comprobadas, lo que permite a un usuario autenticado inyectar scripts en algunos cuadros de texto, conllevando a un ataque de tipo XSS. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la funcionalidad de firma de RPM (CVE-2021-3521)
Fecha de publicación:
22/08/2022
Idioma:
Español
Se presenta un fallo en la funcionalidad de firma de RPM. Las subclaves OpenPGP se asocian a una clave primaria por medio de una "firma vinculante". RPM no comprueba la firma vinculante de las subclaves antes de importarlas. Si un atacante es capaz de añadir o hacer ingeniería social para que otra parte añada una subclave maliciosa a una clave pública legítima, RPM podría confiar erróneamente en una firma maliciosa. El mayor impacto de este fallo es la integridad de los datos. Para explotar este fallo, un atacante debe comprometer un repositorio de RPM o convencer a un administrador para que instale un RPM o una clave pública que no sean confiables. Es recomendado encarecidamente usar sólo RPMs y claves públicas de fuentes confiables.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2023

Vulnerabilidad en las URL de cierre de sesión en mod_auth_mellon (CVE-2021-3639)
Fecha de publicación:
22/08/2022
Idioma:
Español
Se ha encontrado un fallo en mod_auth_mellon que no sanea correctamente las URL de cierre de sesión. Este problema podría ser usado por un atacante para facilitar los ataques de phishing engañando a usuarios para que visiten la URL de una aplicación web confiable que redirige a un servidor externo y potencialmente malicioso. La mayor amenaza de esta responsabilidad es para la confidencialidad y la integridad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2023

Vulnerabilidad en Foreman project (CVE-2021-3590)
Fecha de publicación:
22/08/2022
Idioma:
Español
Se ha encontrado un fallo en Foreman project. Se ha identificado un filtrado de credenciales que expondrá la contraseña de Azure Compute Profile mediante el JSON de la salida de la API. La mayor amenaza de esta vulnerabilidad es para la confidencialidad e integridad de los datos, así como para la disponibilidad del sistema.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2022

Vulnerabilidad en el plugin Rezgo Online Booking de WordPress (CVE-2022-1932)
Fecha de publicación:
22/08/2022
Idioma:
Español
El plugin Rezgo Online Booking de WordPress versiones anteriores a 4.1.8, no sanea y escapa de algunos parámetros antes de devolverlos a una página, lo que conlleva a un ataque de tipo Cross-Site Scripting reflejado, que puede ser explotado por medio de un LFI en una acción AJAX, o una llamada directa al archivo afectado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/08/2022

Vulnerabilidad en los recursos NetworkPolicy en servicemesh-operator (CVE-2021-3586)
Fecha de publicación:
22/08/2022
Idioma:
Español
Se encontró un fallo en servicemesh-operator. Los recursos NetworkPolicy instalados para Maistra no especifican correctamente a qué puertos pueden accederse, permitiendo el acceso a todos los puertos de estos recursos desde cualquier pod. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/08/2022
Suscribirse a Vulnerabilidades