Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SSH.NET (CVE-2022-29245)
Fecha de publicación:
31/05/2022
Idioma:
Español
SSH.NET es una biblioteca de Secure Shell (SSH) para .NET. En versiones 2020.0.0 y 2020.0.1, durante un intercambio de claves "X25519", la clave privada del cliente se genera con "System.Random". "System.Random" no es un generador de números aleatorios criptográficamente seguro, por lo que no debe ser usado con fines criptográficos. Cuando es establecida una conexión SSH con un host remoto, durante el intercambio de claves X25519, la clave privada es generada con un generador de números aleatorios débil cuya semilla puede ser forzada. Esto permite que un atacante que sea capaz de espiar las comunicaciones las descifre. La versión 2020.0.2 contiene un parche para este problema. Como mitigación, puede deshabilitarse el soporte para los algoritmos de intercambio de claves "curve25519-sha256" y "curve25519-sha256@libssh.org"
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el tamaño de la entrada de los nuevos nombres de sesión en Nextcloud Server (CVE-2022-29243)
Fecha de publicación:
31/05/2022
Idioma:
Español
Nextcloud Server es el software de servidor de archivos de Nextcloud, una plataforma de productividad auto alojada. En versiones anteriores a 22.2.7 y 23.0.4, una falta de comprobación del tamaño de la entrada de los nuevos nombres de sesión permite a usuarios crear contraseñas de aplicaciones con nombres largos. Estos nombres largos son cargados en la memoria durante el uso, resultando en un impacto en el rendimiento. Las versiones 22.2.7 y 23.0.4 contienen una correción para este problema. Actualmente no se presentan mitigaciones conocidas disponibles
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/09/2022

Vulnerabilidad en github-action-merge-dependabot (CVE-2022-29220)
Fecha de publicación:
31/05/2022
Idioma:
Español
github-action-merge-dependabot es una acción que aprueba y fusiona automáticamente las peticiones de pull (PR) de dependabot. En versiones anteriores a 3.2.0, github-action-merge-dependabot no comprueba si un commit creado por dependabot está verificado con la clave GPG adecuada. Sólo se presenta comprobación si el actor es establecido como "dependabot[bot]" para determinar si el PR es un PR legítimo. Teóricamente, un propietario de una acción aparentemente válida y legítima en la tubería puede comprobar si el PR es creado por dependabot y si su propia acción presenta suficientes permisos para modificar el PR en la tubería. Si es así, pueden modificar el PR añadiendo un segundo commit aparentemente válido y legítimo al PR, ya que pueden establecer arbitrariamente el nombre de usuario y el correo electrónico en los commits en git. Dado que el bot sólo comprueba si el actor es válido, pasaría los cambios maliciosos y fusionaría el PR automáticamente, sin que los mantenedores del proyecto dieran cuenta. Probablemente no sería posible determinar de dónde proviene el commit malicioso, ya que sólo diría "dependabot[bot]" y la dirección de correo electrónico correspondiente. La versión 3.2.0 contiene un parche para este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/06/2022

Vulnerabilidad en IBM Business Automation Workflow tradicional, IBM Business Automation Workflow containers, IBM Business Process Manager (CVE-2022-22361)
Fecha de publicación:
31/05/2022
Idioma:
Español
IBM Business Automation Workflow tradicional versiones 21.0.1 hasta 21.0.3, 20.0.0.1 hasta 20.0.0.2, 19.0.0.1 hasta 19.0.0.3, 18.0.0.0 hasta 18.0.0.1, IBM Business Automation Workflow containers V21.0.1 - V21.0.3 20.0.0.1 hasta 20.0.0. 2, IBM Business Process Manager 8.6.0.0 hasta 8.6.0.201803, y 8.5.0.0 hasta 8.5.0.201706 es vulnerable a la falsificación de petición de sitio cruzado que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas desde un usuario en el que el sitio web confía
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2022

Vulnerabilidad en la función "isFileOutsideDir" en CureKit (CVE-2022-23082)
Fecha de publicación:
31/05/2022
Idioma:
Español
En CureKit, versiones v1.0.1 hasta v1.1.3 son vulnerables al path traversal ya que la función isFileOutsideDir no sanea la entrada del usuario, lo que puede llevar al path traversal.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2022

Vulnerabilidad en Apache Tika (CVE-2022-30973)
Fecha de publicación:
31/05/2022
Idioma:
Español
No hemos aplicado la corrección de CVE-2022-30126 a la rama 1.x en la versión 1.28.2. En Apache Tika, una expresión regular en la clase StandardsText, utilizada por el StandardsExtractingContentHandler podría llevar a una denegación de servicio causada por el backtracking en un archivo especialmente diseñado. Esto sólo afecta a los usuarios que ejecutan StandardsExtractingContentHandler, que es un manejador no estándar. Esto se ha corregido en la versión 1.28.3
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/10/2022

Vulnerabilidad en el repositorio de GitHub vim/vim (CVE-2022-1942)
Fecha de publicación:
31/05/2022
Idioma:
Español
Un Desbordamiento de Búfer en la Región Heap de la Memoria en el repositorio de GitHub vim/vim versiones anteriores a 8.2
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en el componente del servidor RSTP de la cámara de interior Eufy Indoor 2K (CVE-2021-3555)
Fecha de publicación:
31/05/2022
Idioma:
Español
Una vulnerabilidad de desbordamiento del búfer en el componente del servidor RSTP de la cámara de interior Eufy Indoor 2K permite a un atacante local lograr la ejecución remota de código. Este problema afecta a: Eufy Indoor 2K Indoor Camera versión 2.0.9.3 y versiones anteriores
Gravedad CVSS v3.1: ALTA
Última modificación:
14/06/2022

Vulnerabilidad en el repositorio de GitHub polonel/trudesk (CVE-2022-1926)
Fecha de publicación:
31/05/2022
Idioma:
Español
Un Desbordamiento de enteros o Wraparound en el repositorio de GitHub polonel/trudesk versiones anteriores a 1.2.3
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/06/2022

Vulnerabilidad en el repositorio de GitHub mruby/mruby (CVE-2022-1934)
Fecha de publicación:
31/05/2022
Idioma:
Español
Un Uso de Memoria Previamente Liberada en el repositorio de GitHub mruby/mruby versiones anteriores a 3.2
Gravedad CVSS v3.1: ALTA
Última modificación:
08/06/2022

Vulnerabilidad en el repositorio de GitHub polonel/trudesk (CVE-2022-1931)
Fecha de publicación:
31/05/2022
Idioma:
Español
Una Sincronización Incorrecta en el repositorio de GitHub polonel/trudesk versiones anteriores a 1.2.3
Gravedad CVSS v3.1: ALTA
Última modificación:
08/06/2022

Vulnerabilidad en el plugin External Links in New Window / New Tab de WordPress (CVE-2022-1582)
Fecha de publicación:
30/05/2022
Idioma:
Español
El plugin External Links in New Window / New Tab de WordPress versiones anteriores a 1.43, no escapa correctamente las URLs que concatena en los manejadores de eventos onclick, lo que hace posible ataques de tipo Cross-Site Scripting Almacenado
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/06/2022
Suscribirse a Vulnerabilidades