Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Dell BSAFE Micro Edition Suite (CVE-2020-26184)
Fecha de publicación:
01/06/2022
Idioma:
Español
Dell BSAFE Micro Edition Suite, versiones anteriores a 4.5.1, contienen una vulnerabilidad de comprobación inapropiada de certificados
Gravedad CVSS v3.1: ALTA
Última modificación:
29/11/2022

Vulnerabilidad en Dell BSAFE Micro Edition Suite (CVE-2020-26185)
Fecha de publicación:
01/06/2022
Idioma:
Español
Dell BSAFE Micro Edition Suite, versiones anteriores a 4.5.1, contienen una vulnerabilidad de Lectura Excesiva del Búfer
Gravedad CVSS v3.1: ALTA
Última modificación:
29/11/2022

Vulnerabilidad en los sistemas Biograph Horizon PET/CT (CVE-2022-29875)
Fecha de publicación:
01/06/2022
Idioma:
Español
Se ha identificado una vulnerabilidad en los sistemas Biograph Horizon PET/CT (todas las versiones VJ30 anteriores a VJ30C-UD01), la familia MAGNETOM (NUMARIS X: VA12M, VA12S, VA10B, VA20A, VA30A, VA31A), MAMMOMAT Revelation (todas las versiones VC20 anteriores a VC20D), NAEOTOM Alpha (todas las versiones VA40 anteriores a VA40 SP2), SOMATOM X. cite (Todas las versiones anteriores a VA30 SP5 o VA40 SP2), SOMATOM X.creed (Todas las versiones anteriores a VA30 SP5 o VA40 SP2), SOMATOM go.All (Todas las versiones anteriores a VA30 SP5 o VA40 SP2), SOMATOM go.Now (Todas las versiones anteriores a VA30 SP5 o VA40 SP2), SOMATOM go.Open Pro (Todas las versiones anteriores a VA30 SP5 o VA40 SP2), SOMATOM go. Sim (Todas las versiones anteriores a VA30 SP5 o VA40 SP2), SOMATOM go.Top (Todas las versiones anteriores a VA30 SP5 o VA40 SP2), SOMATOM go. Up (Todas las versiones anteriores a VA30 SP5 o VA40 SP2), Symbia E/S (Todas las versiones VB22 anteriores a VB22A-UD03), Symbia Evo (Todas las versiones VB22 anteriores a VB22A-UD03), Symbia Intevo (Todas las versiones VB22 anteriores a VB22A-UD03), Symbia T (Todas las versiones VB22 anteriores a VB22A-UD03), Symbia. net (Todas las versiones VB22 anteriores a VB22A-UD03), syngo.via VB10 (Todas las versiones), syngo.via VB20 (Todas las versiones), syngo.via VB30 (Todas las versiones), syngo.via VB40 (Todas las versiones anteriores a VB40B HF06), syngo.via VB50 (Todas las versiones), syngo.via VB60 (Todas las versiones anteriores a VB60B HF02). La aplicación deserializa datos no confiables sin suficientes comprobaciones, lo que podría resultar en una deserialización arbitraria. Esto podría permitir a un atacante no autenticado ejecutar código en el sistema afectado si los puertos 32912/tcp o 32914/tcp son alcanzables
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/06/2022

Vulnerabilidad en el repositorio de GitHub gogs/gogs (CVE-2022-1285)
Fecha de publicación:
01/06/2022
Idioma:
Español
Una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el repositorio de GitHub gogs/gogs versiones anteriores a 0.12.8
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/06/2022

Vulnerabilidad en el parámetro Name para Approved Applications en las páginas web de administración en HCL Traveler (CVE-2021-27778)
Fecha de publicación:
01/06/2022
Idioma:
Español
HCL Traveler es vulnerable a un cross-site scripting (XSS) causado por una validación inadecuada del parámetro Name para Approved Applications en las páginas web de administración de Traveler. Un atacante podría explotar esta vulnerabilidad para ejecutar un script malicioso para acceder a cualquier cookie, tokens de sesión u otra información sensible retenida por el navegador y utilizada con ese sitio
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/06/2022

Vulnerabilidad en el repositorio de GitHub polonel/trudesk (CVE-2022-1947)
Fecha de publicación:
31/05/2022
Idioma:
Español
Un uso de un Operador Incorrecto en el repositorio de GitHub polonel/trudesk versiones anteriores a 1.2.3
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/06/2022

Vulnerabilidad en Waitress (CVE-2022-31015)
Fecha de publicación:
31/05/2022
Idioma:
Español
Waitress es un servidor de Interfaz de Pasarela del Servidor Web para Python versiones 2 y 3. Las versiones 2.1.0 y 2.1.1 de Waitress pueden terminar antes de tiempo debido a que un hilo cierra un socket mientras el hilo principal está a punto de llamar a select(). Esto conllevaba a que el hilo principal lanzara una excepción que no es manejada y que causaba la muerte de toda la aplicación. Este problema ha sido corregido en Waitress versión 2.1.2, al no permitir que el hilo WSGI cierre el socket. En su lugar, esto es delegado siempre en el hilo principal. No se presenta ninguna mitigación para este problema. Sin embargo, los usuarios usando waitress detrás de un servidor proxy inverso presentan menos probabilidades de tener problemas si el proxy inverso siempre lee la respuesta completa
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/06/2022

Vulnerabilidad en la función "this.authProvider.verifyAccessKey"en el token de acceso en Chat Server (CVE-2022-31013)
Fecha de publicación:
31/05/2022
Idioma:
Español
Chat Server es el servidor de chat de Vartalap, una aplicación de mensajería de código abierto. Las versiones 2.3.2 hasta 2.6.0, sufren de un error en la comprobación del token de acceso, resultando en una omisión de autenticación. La función "this.authProvider.verifyAccessKey" es una función asíncrona, ya que el código no usa "await" para esperar el resultado de la verificación. Cada vez que la función responde con éxito, junto con una excepción no manejada si el token es inválido. Se presenta un parche disponible en la versión 2.6.0
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/06/2022

Vulnerabilidad en el repositorio de GitHub polonel/trudesk (CVE-2022-1808)
Fecha de publicación:
31/05/2022
Idioma:
Español
Una Ejecución con Privilegios no Necesarios en el repositorio de GitHub polonel/trudesk versiones anteriores a 1.2.3
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2022

Vulnerabilidad en el repositorio de GitHub polonel/trudesk (CVE-2022-1893)
Fecha de publicación:
31/05/2022
Idioma:
Español
Una Exposición de Información Sensible a un Actor no Autorizado en el repositorio de GitHub polonel/trudesk versiones anteriores a 1.2.3
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/08/2023

Vulnerabilidad en TiDB (CVE-2022-31011)
Fecha de publicación:
31/05/2022
Idioma:
Español
TiDB es una base de datos NewSQL de código abierto que soporta cargas de trabajo de Procesamiento Transaccional y Analítico Híbrido (HTAP). Bajo determinadas condiciones, un atacante puede construir peticiones de autenticación maliciosas para omitir el proceso de autenticación, resultando en una escalada de privilegios o un acceso no autorizado. Sólo los usuarios usando TiDB versión 5.3.0, están afectados por esta vulnerabilidad. TiDB versión 5.3.1, contiene un parche para este problema. Otras estrategias de mitigación incluyen la deshabilitación del modo mejorado de seguridad (SEM), la deshabilitación del inicio de sesión local para las cuentas que no son root y la garantía de que la misma IP no puede iniciar sesión como root y usuario normal al mismo tiempo
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2022

Vulnerabilidad en eLabFTW (CVE-2022-31007)
Fecha de publicación:
31/05/2022
Idioma:
Español
eLabFTW es un administrador de cuadernos de laboratorio electrónicos para equipos de investigación. En versiones anteriores a 4.3.0, una vulnerabilidad permite a un usuario autenticado con un rol de administrador en un equipo asignarse a sí mismo privilegios de administrador del sistema dentro de la aplicación, o crear una nueva cuenta de administrador del sistema. El problema ha sido corregido en eLabFTW versión 4.3.0. En el contexto de eLabFTW, un administrador es una cuenta de usuario con ciertos privilegios para administrar usuarios y contenidos en su equipo/equipos asignados. Una cuenta de administrador del sistema puede administrar todas las cuentas, equipos y editar la configuración de todo el sistema dentro de la aplicación. El impacto no es considerado tan alto, ya que requiere que el atacante tenga acceso a una cuenta de administrador. Las cuentas de usuarios normales no pueden aprovechar esta situación para obtener derechos de administrador. Una mitigación para uno de los problemas es eliminar la capacidad de los administradores para crear cuentas
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2022
Suscribirse a Vulnerabilidades