Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en las etiquetas de script en Silverstripe silverstripe/framework (CVE-2022-25238)
Fecha de publicación:
28/06/2022
Idioma:
Español
Silverstripe silverstripe/framework versiones hasta 4.10.0, permite un ataque de tipo XSS, dentro de las etiquetas de script que pueden ser añadidas al contenido del sitio web por medio de XHR por un usuario autenticado del CMS si el módulo cwp-core no está instalado en el contig sanitise_server_side no está establecido a true en el código del proyecto
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2022

Vulnerabilidad en Silverstripe silverstripe/assets (CVE-2022-29858)
Fecha de publicación:
28/06/2022
Idioma:
Español
Silverstripe silverstripe/assets hasta la versión 1.10 es vulnerable a un control de acceso inadecuado que permite publicar imágenes protegidas cambiando un código corto de imagen existente en el contenido del sitio web
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2022

Vulnerabilidad en el archivo post-edit.php en Minicms (CVE-2020-19896)
Fecha de publicación:
28/06/2022
Idioma:
Español
Una vulnerabilidad de inclusión de archivos en Minicms versión v1.9, permite a atacantes remotos ejecutar código PHP arbitrario por medio del archivo post-edit.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2022

Vulnerabilidad en el parámetro imgurl en wuzhicms (CVE-2020-19897)
Fecha de publicación:
28/06/2022
Idioma:
Español
Un ataque de tipo Cross Site Scripting (XSS) reflejado en wuzhicms versión v4.1.0, permite a atacantes remotos ejecutar un script web o HTML arbitrario por medio del parámetro imgurl
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025

Vulnerabilidad en Silverstripe silverstripe/framework (CVE-2022-24444)
Fecha de publicación:
28/06/2022
Idioma:
Español
Silverstripe silverstripe/framework versiones hasta 4.10, permite una Fijación de Sesión
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/07/2022

Vulnerabilidad en un documento XML en la función Convert::xml2array() en Silverstripe silverstripe/framework (CVE-2021-41559)
Fecha de publicación:
28/06/2022
Idioma:
Español
Silverstripe silverstripe/framework 4.8.1, presenta una explosión cuadrática en la función Convert::xml2array() que permite un ataque remoto por medio de un documento XML diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en las claves API en Marval MSM (CVE-2022-31883)
Fecha de publicación:
28/06/2022
Idioma:
Español
Marval MSM versión v14.19.0.12476, presenta una vulnerabilidad de Referencia Directa a Objetos Insegura (IDOR). Un usuario poco privilegiado puede visualizar las claves API de otros usuarios, incluidas las claves API de los administradores
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2022

Vulnerabilidad en los VBScripts en Marval MSM (CVE-2022-31885)
Fecha de publicación:
28/06/2022
Idioma:
Español
Marval MSM versión v14.19.0.12476, es vulnerable a la inyección de comandos en el Sistema Operativo debido a un manejo no seguro de los VBScripts
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2022

Vulnerabilidad en Marval MSM (CVE-2022-31886)
Fecha de publicación:
28/06/2022
Idioma:
Español
Marval MSM versión v14.19.0.12476, es vulnerable a un ataque de tipo Cross Site Request Forgery (CSRF). Un atacante puede deshabilitar el 2FA mediante el envío al usuario de un formulario malicioso
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2022

Vulnerabilidad en la función LL_CONNECTION_PARAM_REQ en Zephyr (CVE-2021-3430)
Fecha de publicación:
28/06/2022
Idioma:
Español
Una aserción alcanzable con la función LL_CONNECTION_PARAM_REQ repetida. Zephyr versiones posteriores a v1.14 incluyéndola, contienen una Aserción Alcanzable (CWE-617). Para más información, vea https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-46h3-hjcq-2jjr
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2022

Vulnerabilidad en la función LL_FEATURE_REQ en Zephyr (CVE-2021-3431)
Fecha de publicación:
28/06/2022
Idioma:
Español
Aserción alcanzable con la función LL_FEATURE_REQ repetida. Zephyr versiones posteriores a v2.5.0 incluyéndola, contienen una Aserción Alcanzable (CWE-617). Para más información, vea https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-7548-5m6f-mqv9
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2022

Vulnerabilidad en la función CONNECT_IND en Zephyr (CVE-2021-3432)
Fecha de publicación:
28/06/2022
Idioma:
Español
Un intervalo no válido en la función CONNECT_IND conlleva a una división por cero. Zephyr versiones posteriores a v1.14.0 incluyéndola, División por Cero (CWE-369). Para más información, vea https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-7364-p4wc-8mj4
Gravedad CVSS v3.1: ALTA
Última modificación:
08/07/2022
Suscribirse a Vulnerabilidades