Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en /admin/index.php?mode=content&page=media&action=edit en bloofoxCMS (CVE-2022-28528)
Fecha de publicación:
26/04/2022
Idioma:
Español
Se ha detectado que bloofoxCMS versión v0.5.2.1, contiene una vulnerabilidad de carga de archivos arbitraria por medio de /admin/index.php?mode=content&page=media&action=edit
Gravedad CVSS v3.1: ALTA
Última modificación:
05/05/2022

Vulnerabilidad en nopCommerce (CVE-2022-28448)
Fecha de publicación:
26/04/2022
Idioma:
Español
nopCommerce versión 4.50.1, es vulnerable a un ataque de tipo Cross Site Scripting (XSS). Un atacante (cliente de rol) puede inyectar código javascript al Nombre o Apellido en Información del cliente
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/05/2022

Vulnerabilidad en el parámetro &wpt_test_page_submit_button_caption en el plugin Psychological tests & quizzes de Alexander Ustimenko en WordPress (CVE-2022-27854)
Fecha de publicación:
26/04/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenada en el plugin Psychological tests & quizzes versiones anteriores a 0.21.19 incluyéndola de Alexander Ustimenko en WordPress, posible para usuarios con rol de colaborador o superior por medio del parámetro &wpt_test_page_submit_button_caption
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/01/2023

Vulnerabilidad en una carga de imágenes SVG en el plugin Tripetto en WordPress (CVE-2021-36895)
Fecha de publicación:
26/04/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) no autenticado en el plugin Tripetto versiones anteriores a 5.1.4 incluyéndola, en WordPress por medio de una carga de imágenes SVG
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2022

Vulnerabilidad en la función de archivo en tiempo de ejecución de XPLATFORM (CVE-2021-26629)
Fecha de publicación:
26/04/2022
Idioma:
Español
Una vulnerabilidad de salto de ruta en la función de archivo en tiempo de ejecución de XPLATFORM podría conllevar a una creación de archivos arbitrarios. Cuando es descomprimido el archivo .xzip, puede crearse un archivo arbitrario en la ruta principal usando el patrón de salto de ruta "..\"
Gravedad CVSS v3.1: ALTA
Última modificación:
06/05/2022

Vulnerabilidad en el plugin Psychological tests & quizzes de Alexander Ustimenko en WordPres (CVE-2021-36867)
Fecha de publicación:
26/04/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el plugin Psychological tests & quizzes versiones anteriores a 0.21.19 incluyéndola de Alexander Ustimenko en WordPress, posible para usuarios con derechos de colaborador o superiores
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2022

Vulnerabilidad en Red Hat Single Sign-On (CVE-2022-1466)
Fecha de publicación:
26/04/2022
Idioma:
Español
Debido a una autorización inapropiada, Red Hat Single Sign-On es vulnerable a que usuarios lleven a cabo acciones que no deberían estar autorizados a realizar. Era posible añadir usuarios al reino maestro aunque no sea concedido el permiso correspondiente
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2022

Vulnerabilidad en Discourse Assign (CVE-2022-24866)
Fecha de publicación:
26/04/2022
Idioma:
Español
Discourse Assign es un plugin para asignar usuarios a un tema en Discourse, una plataforma de mensajería de código abierto. En versiones anteriores a 1.0.1, el UserBookmarkSerializer serializaba todo el objeto User / Group, lo que filtraba determinada información privada. Los datos sólo eran serializados a personas que podían visualizar la información de la asignación, que está limitada al personal por defecto. Para la gran mayoría de los sitios, estos datos sólo son filtrados a miembros del personal confiables, pero para los sitios con características de asignación habilitadas públicamente, los datos fueron accesibles a más personas que sólo el personal. La versión 1.0.1 contiene un parche. Actualmente no se presentan medidas de mitigación conocidas
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2022

Vulnerabilidad en la página de administración que permite un ataque de tipo XSS por una insuficiente comprobación de scripts (CVE-2021-26628)
Fecha de publicación:
26/04/2022
Idioma:
Español
Una insuficiente comprobación de scripts de la página de administración permite un ataque de tipo XSS, lo que causa que usuarios no autorizados roben privilegios de administrador. Cuando es subido un archivo en un menú específico, la verificación de los archivos es insuficiente. Permite a atacantes remotos subir archivos arbitrarios disfrazándolos de archivos de imagen
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2022

Vulnerabilidad en CipherMail Webmail Messenger (CVE-2022-28218)
Fecha de publicación:
26/04/2022
Idioma:
Español
Se ha detectado un problema en CipherMail Webmail Messenger versiones 1.1.1 hasta 4.1.4. Un atacante local podría acceder a las claves secretas (que son encontradas en un archivo de configuración de Roundcube) que son usadas para proteger las contraseñas de los usuarios de Webmail y la autenticación de dos factores (2FA)
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Ballcat Codegen (CVE-2022-24881)
Fecha de publicación:
26/04/2022
Idioma:
Español
Ballcat Codegen proporciona la función de edición de código en línea para generar plantillas. En versiones anteriores a 1.0.0.beta.2, los atacantes pueden implementar una ejecución de código remota mediante una inyección de código malicioso del motor de plantillas. Esto sucede porque son introducidas plantillas Velocity y freemarker pero no es realizada la verificación de la entrada. El fallo ha sido rectificado en la versión 1.0.0.beta.2
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/05/2022

Vulnerabilidad en Apache Doris (CVE-2022-23942)
Fecha de publicación:
26/04/2022
Idioma:
Español
Apache Doris, versiones anteriores a 1.0.0, usaba una clave y un IV embebidos para inicializar el cifrado usado para la contraseña de ldap, lo que podía conllevar a una revelación de información
Gravedad CVSS v3.1: ALTA
Última modificación:
06/05/2022
Suscribirse a Vulnerabilidades