Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el campo "Field Server Address" en INTELBRAS ATA 200 (CVE-2022-24654)
Fecha de publicación:
15/08/2022
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) almacenado y autenticado en el campo "Field Server Address" en INTELBRAS ATA 200 Firmware 74.19.10.21, permite a atacantes inyectar código JavaScript mediante una carga útil diseñada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2022

Vulnerabilidad en Minetest (CVE-2022-35978)
Fecha de publicación:
15/08/2022
Idioma:
Español
Minetest es un motor de juegos voxel de código abierto que permite modificar y crear juegos fácilmente. En **single player**, un mod puede establecer una configuración global que controla el script Lua cargado para mostrar el menú principal. El script es cargado en cuanto sale de la sesión de juego. El entorno Lua en el que es ejecutado el menú no está aislado y puede interferir directamente con el sistema del usuario. Actualmente no se presentan mitigaciones conocidas.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/08/2022

Vulnerabilidad en la función phpcgi_main en cgibin en D-Link Go-RT-AC750 (CVE-2022-36526)
Fecha de publicación:
15/08/2022
Idioma:
Español
D-Link GO-RT-AC750 versiones GORTAC750_revA_v101b03 & GO-RT-AC750_revB_FWv200b02 son vulnerables a una omisión de autenticación por medio de la función phpcgi_main en cgibin.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en el archivo /etc/init0.d/S80telnetd.sh en D-Link Go-RT-AC750 (CVE-2022-36524)
Fecha de publicación:
15/08/2022
Idioma:
Español
D-Link GO-RT-AC750 versiones GORTAC750_revA_v101b03 & GO-RT-AC750_revB_FWv200b02 son vulnerables a las credenciales estáticas por defecto por medio del archivo /etc/init0.d/S80telnetd.sh.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en la función authenticationcgi_main en D-Link Go-RT-AC750 (CVE-2022-36525)
Fecha de publicación:
15/08/2022
Idioma:
Español
D-Link Go-RT-AC750 versiones GORTAC750_revA_v101b03 & GO-RT-AC750_revB_FWv200b02 son vulnerables al desbordamiento del búfer por medio de la función authenticationcgi_main.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/08/2022

Vulnerabilidad en el archivo /htdocs/upnpinc/gena.php en D-Link Go-RT-AC750 (CVE-2022-36523)
Fecha de publicación:
15/08/2022
Idioma:
Español
D-Link Go-RT-AC750 versiones GORTAC750_revA_v101b03 & GO-RT-AC750_revB_FWv200b02 son vulnerables a una inyección de comandos por medio del archivo /htdocs/upnpinc/gena.php.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/08/2022

Vulnerabilidad en una serie de paquetes segmentados en Nordic nRF5 SDK for Mesh (CVE-2022-35624)
Fecha de publicación:
15/08/2022
Idioma:
Español
En Nordic nRF5 SDK for Mesh 5.0, puede activarse una vulnerabilidad de desbordamiento de pila mediante el envío de una serie de paquetes segmentados con SegO ) SegN
Gravedad CVSS v3.1: ALTA
Última modificación:
17/08/2022

Vulnerabilidad en una serie de paquetes de control segmentados y paquetes de acceso en Nordic nRF5 SDK for Mesh (CVE-2022-35623)
Fecha de publicación:
15/08/2022
Idioma:
Español
En Nordic nRF5 SDK for Mesh versión 5.0, una vulnerabilidad de desbordamiento de pila puede ser desencadenada mediante el envío de una serie de paquetes de control segmentados y paquetes de acceso con el mismo SeqAuth
Gravedad CVSS v3.1: ALTA
Última modificación:
16/08/2022

Vulnerabilidad en el repositorio de GitHub openemr/openemr (CVE-2022-2824)
Fecha de publicación:
15/08/2022
Idioma:
Español
Un Control de Acceso inapropiado en el repositorio de GitHub openemr/openemr versiones anteriores a 7.0.0.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/07/2023

Vulnerabilidad en dproxy-nexgen (CVE-2022-33991)
Fecha de publicación:
15/08/2022
Idioma:
Español
dproxy-nexgen (también se conoce como dproxy nexgen) reenvía y almacena en caché las consultas DNS con el bit CD (también se conoce como comprobación deshabilitada) establecido en 1. Esto conlleva a una deshabilitación de la protección DNSSEC proporcionada por los resolutores ascendentes.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/08/2022

Vulnerabilidad en dproxy-nexgen (CVE-2022-33989)
Fecha de publicación:
15/08/2022
Idioma:
Español
dproxy-nexgen (también se conoce como dproxy nexgen) usa un puerto de origen UDP estático (seleccionado aleatoriamente sólo en el momento del arranque) en las consultas ascendentes enviadas a resolvedores de DNS. Esto permite el envenenamiento de la caché de DNS porque no se presenta suficiente entropía para evitar los ataques de inyección de tráfico.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/08/2022

Vulnerabilidad en los caracteres especiales de los nombres de dominio en dproxy-nexgen (CVE-2022-33990)
Fecha de publicación:
15/08/2022
Idioma:
Español
Una interpretación inapropiada de los caracteres especiales de los nombres de dominio en dproxy-nexgen (también se conoce como dproxy nexgen) conlleva a un envenenamiento de la caché porque los nombres de dominio y sus direcciones IP asociadas son almacenadas en la caché en su forma interpretada inapropiadamente.
Gravedad CVSS v3.1: ALTA
Última modificación:
18/08/2022
Suscribirse a Vulnerabilidades