Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el protocolo MDLC de Motorola (CVE-2022-30273)
Fecha de publicación:
26/07/2022
Idioma:
Español
El protocolo MDLC de Motorola versiones hasta 02-05-2022, maneja inapropiadamente la integridad de los mensajes. Soporta tres modos de seguridad: Simple, Encriptación Legada y Nueva Encriptación. En el modo Legacy Encryption, el tráfico es cifrado por medio del cifrado en bloque Tiny Encryption Algorithm (TEA) en modo ECB. Este modo de funcionamiento no ofrece la integridad de los mensajes y ofrece una confidencialidad reducida por encima del nivel de bloque, como demuestra un ataque ECB Penguin contra cualquier cifrado de bloque.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/02/2024

Vulnerabilidad en los PLC de las series CS, CJ y CP de Omron (CVE-2022-31205)
Fecha de publicación:
26/07/2022
Idioma:
Español
En los PLC de las series CS, CJ y CP de Omron versiones hasta 18-05-2022, la contraseña de acceso a la Interfaz de Usuario Web es almacenada en el área de memoria D1449...D1452 y puede leerse mediante el protocolo FINS de Omron sin necesidad de ninguna otra autenticación.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en Emerson OpenBSI (CVE-2022-29960)
Fecha de publicación:
26/07/2022
Idioma:
Español
Emerson OpenBSI versiones hasta 29-04-2022, usa una criptografía débil. Es un entorno de ingeniería para la línea de RTUs ControlWave y Bristol Babcock. Es usado DES con claves criptográficas embebidas para la protección de determinadas credenciales del sistema, archivos de ingeniería y utilidades confidenciales.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/02/2024

Vulnerabilidad en el software MOSCAD Toolbox de Motorola (CVE-2022-30275)
Fecha de publicación:
26/07/2022
Idioma:
Español
El software MOSCAD Toolbox de Motorola versiones hasta 02-05-2022, es basado en una contraseña en texto sin cifrar. Usa un controlador MDLC para comunicarse con las RTU de MOSCAD/ACE con fines de ingeniería. El acceso a estas comunicaciones está protegido por una contraseña almacenada en texto sin cifrar en el archivo de configuración del driver wmdlcdrv.ini. Además, esta contraseña es usado para el control de acceso a los proyectos de MOSCAD/STS protegidos con la función Legacy Password. En este caso, un CRC no seguro de la contraseña está presente en el archivo del proyecto: este CRC es comprobado contra la contraseña en el archivo de configuración del controlador.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/02/2024

Vulnerabilidad en el Sistema de Control Distribuido (DCS) de Emerson DeltaV (CVE-2022-29957)
Fecha de publicación:
26/07/2022
Idioma:
Español
El Sistema de Control Distribuido (DCS) de Emerson DeltaV versiones hasta 29-04-2022, maneja inapropiadamente la autenticación. Usa varios protocolos propietarios para una amplia variedad de funcionalidades. Estos protocolos incluyen la actualización del firmware (18508/TCP, 18518/TCP); Plug-and-Play (18510/UDP); servicios Hawk (18507/UDP); administración (18519/TCP); reinicio en frío (18512/UDP); comunicaciones SIS (12345/TCP); y protocolo de pasarela inalámbrica (18515/UDP). Ninguno de estos protocolos presenta características de autenticación, permitiendo a cualquier atacante capaz de comunicarse con los puertos en cuestión invocar (un subconjunto de) la funcionalidad deseada.
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2023

Vulnerabilidad en JTEKT TOYOPUC PLC (CVE-2022-29958)
Fecha de publicación:
26/07/2022
Idioma:
Español
JTEKT TOYOPUC PLC versiones hasta 29-04-2022, no aseguran la integridad de los datos. Usan el protocolo CMPLink/TCP no autenticado para fines de ingeniería, incluyendo la descarga de proyectos y lógica de control al PLC. La lógica de control es descargada en el PLC bloque por bloque con una dirección de memoria determinada y un bloque de código de máquina. La lógica que es descargada en el PLC no está autenticada criptográficamente, lo que permite a un atacante ejecutar código máquina arbitrario en el módulo CPU del PLC en el contexto del tiempo de ejecución. En el caso de la PC10G-CPU, y probablemente para otros módulos de CPU de la familia TOYOPUC, Es usado un procesador sin MPU o MMU y esto sin protección de memoria o capacidades de separación de privilegios, dando a un atacante el control total sobre la CPU.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/08/2022

Vulnerabilidad en una página HTML en V8 Internationalization en Google Chrome (CVE-2022-1638)
Fecha de publicación:
26/07/2022
Idioma:
Español
Un desbordamiento del búfer de pila en V8 Internationalization en Google Chrome versiones anteriores a 101.0.4951.64, permitía a un atacante remoto explotar potencialmente la corrupción de la memoria intermedia por medio de una página HTML diseñada.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/07/2022

Vulnerabilidad en una página HTML (CVE-2022-1637)
Fecha de publicación:
26/07/2022
Idioma:
Español
La implementación inapropiada de Web Contents en Google Chrome versiones anteriores a 101.0.4951.64, permitía a un atacante remoto filtrar datos de origen cruzado por medio de una página HTML diseñada.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2022

Vulnerabilidad en una página HTML en ANGLE en Google Chrome (CVE-2022-1639)
Fecha de publicación:
26/07/2022
Idioma:
Español
Un uso de memoria previamente liberada en ANGLE en Google Chrome versiones anteriores a 101.0.4951.64, permitía a un atacante remoto explotar potencialmente la corrupción de la pila por medio de una página HTML diseñada.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/10/2022

Vulnerabilidad en una página HTML en Sharing en Google Chrome (CVE-2022-1640)
Fecha de publicación:
26/07/2022
Idioma:
Español
Un uso de memoria previamente liberada en Sharing en Google Chrome versiones anteriores a 101.0.4951.64 permitía que un atacante remoto que convenciera a un usuario de participar en interacciones específicas de la interfaz de usuario explotara potencialmente la corrupción de la pila por medio de una página HTML diseñada.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/10/2022

Vulnerabilidad en Web UI Diagnostics en Google Chrome en Chrome OS (CVE-2022-1641)
Fecha de publicación:
26/07/2022
Idioma:
Español
Un uso de memoria previamente liberada en Web UI Diagnostics en Google Chrome en Chrome OS versiones anteriores a 101.0.4951.64 permitió que un atacante remoto que convenció a un usuario para participar en las interacciones específicas de la interfaz de usuario para explotar potencialmente la corrupción de la pila por medio de la interacción específica del usuario.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/10/2022

Vulnerabilidad en una página HTML en Downloads en Google Chrome en Android (CVE-2022-1495)
Fecha de publicación:
26/07/2022
Idioma:
Español
Una Interfaz de Seguridad incorrecta en Downloads en Google Chrome en Android versiones anteriores a 101.0.4951.41, permitía a un atacante remoto falsificar el diálogo de descargas de APK por medio de una página HTML diseñada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2022
Suscribirse a Vulnerabilidades