Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una carga de archivos sin restricciones en algunos productos WSO2 (CVE-2022-29464)
Fecha de publicación:
18/04/2022
Idioma:
Español
Algunos productos WSO2 permiten la carga de archivos sin restricciones con la consiguiente ejecución remota de código. El atacante debe utilizar un endpoint /fileupload con una secuencia de recorrido de directorio Content-Disposition para alcanzar un directorio bajo la raíz web, como un directorio ../../../../repositorio/despliegue/servidor/webapps. Esto afecta a WSO2 API Manager 2.2.0 y superior hasta 4.0.0; WSO2 Identity Server 5.2.0 y superior hasta 5.11.0; WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0 y 5.6.0; WSO2 Identity Server as Key Manager 5.3.0 y superior hasta 5.10.0; y WSO2 Enterprise Integrator 6.2.0 y superior hasta 6.6.0
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2025

Vulnerabilidad en fleetdm/fleet (CVE-2022-24841)
Fecha de publicación:
18/04/2022
Idioma:
Español
fleetdm/fleet es una gestión de dispositivos de código abierto, construida sobre osquery. Todas las versiones de fleet que hacen uso de la funcionalidad teams están afectadas por este problema de omisión de autorización. Las instancias de fleetdm/fleet sin equipos, o con equipos pero sin cuentas de equipo restringidas no están afectadas. En las versiones afectadas, un administrador de equipo puede añadirse erróneamente como administrador, mantenedor u observador en otros equipos. Es recomendado a usuarios actualizar a versión 4.13. No se presentan medidas de mitigación conocidas para este problema
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2022

Vulnerabilidad en el archivo convert_strings en tinfo/read_entry.c en la biblioteca terminfo ncurses (CVE-2022-29458)
Fecha de publicación:
18/04/2022
Idioma:
Español
ncurses versiones 6.3 anteriores al parche 20220416, presentan una lectura fuera de límites y una violación de segmentación en el archivo convert_strings en tinfo/read_entry.c en la biblioteca terminfo
Gravedad CVSS v3.1: ALTA
Última modificación:
09/06/2025

Vulnerabilidad en Zoho ManageEngine ADSelfService Plus,ADAuditPlus, Exchange Reporter Plus y ADManagerPlus (CVE-2022-29457)
Fecha de publicación:
18/04/2022
Idioma:
Español
Zoho ManageEngine ADSelfService Plus versiones anteriores a 6121, ADAuditPlus versión 7060, Exchange Reporter Plus versión 5701, y ADManagerPlus versión 7131, permiten una divulgación de NTLM Hash durante determinados pasos de configuración de la ruta de almacenamiento
Gravedad CVSS v3.1: ALTA
Última modificación:
30/09/2022

Vulnerabilidad en http-swagger (CVE-2022-24863)
Fecha de publicación:
18/04/2022
Idioma:
Español
http-swagger es un wrapper de código abierto para generar automáticamente la documentación de la API RESTful con Swagger versión 2.0. En versiones de http-swagger anteriores a 1.2.6 un atacante puede llevar a cabo un ataque de denegación de servicio consistente en el agotamiento de la memoria del sistema anfitrión. La causa del agotamiento de la memoria es debido al manejo inapropiado de los métodos http. Es recomendado a usuarios actualizar. Los usuarios que no puedan actualizar pueden restringir el prefijo de la ruta al método "GET" como medida de mitigación
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2022

Vulnerabilidad en PyPDF2 (CVE-2022-24859)
Fecha de publicación:
18/04/2022
Idioma:
Español
PyPDF2 es una librería PDF de código abierto capaz de dividir, fusionar, recortar y transformar las páginas de los archivos PDF. En versiones anteriores a 1.27.5 un atacante que use esta vulnerabilidad puede diseñar un PDF que conlleva a un bucle infinito si el código de PyPDF2 intenta conseguir el flujo de contenido. La razón es que el último bucle while en "ContentStream._readInlineImage" sólo termina cuando encuentra el token "EI", pero nunca comprueba si el flujo ya ha terminado. Este problema ha sido resuelto en versión "1.27.5". Los usuarios que no puedan actualizarse deberán comprobar y PDFs antes de iterar sobre su flujo de contenido
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2023

Vulnerabilidad en el plugin Good & Bad Comments de WordPress (CVE-2022-1090)
Fecha de publicación:
18/04/2022
Idioma:
Español
El plugin Good & Bad Comments de WordPress versiones hasta 1.0.0, no sanea ni escapa de su configuración, lo que podría permitir a usuarios con altos privilegios, como los administradores, llevar a cabo ataques de tipo Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html está deshabilitada
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2022

Vulnerabilidad en el plugin Safe SVG de WordPress (CVE-2022-1091)
Fecha de publicación:
18/04/2022
Idioma:
Español
El paso de saneo del plugin Safe SVG de WordPress versiones anteriores a 1.9.10, puede ser omitido al suplantar el tipo de contenido en la petición POST para subir un archivo. Explotando esta vulnerabilidad, un atacante podrá llevar a cabo los tipos de ataques que este plugin debería prevenir (principalmente de tipo XSS, pero dependiendo del uso posterior de los archivos SVG subidos, potencialmente otros ataques XML)
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2022

Vulnerabilidad en el plugin Autolinks de WordPress (CVE-2022-1112)
Fecha de publicación:
18/04/2022
Idioma:
Español
El plugin Autolinks de WordPress versiones hasta 1.0.1, no presenta una comprobación de tipo CSRF cuando actualiza sus ajustes, y no los sanea así como los escapa, lo que podría permitir a atacantes llevar a cabo ataques de tipo Cross-Site Scripting Almacenado contra un administrador conectado por medio de un ataque de tipo CSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2022

Vulnerabilidad en el plugin Hummingbird de WordPress (CVE-2022-0994)
Fecha de publicación:
18/04/2022
Idioma:
Español
El plugin Hummingbird de WordPress versiones anteriores a 3.3.2, no sanea ni escapa del nombre de configuración, lo que podría permitir a usuarios con altos privilegios, como el administrador, llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando la capacidad unfiltered_html no está permitida
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2022

Vulnerabilidad en el parámetro cf-api en el plugin Caldera Forms de WordPress (CVE-2022-0879)
Fecha de publicación:
18/04/2022
Idioma:
Español
El plugin Caldera Forms de WordPress versiones anteriores a 1.9.7, no comprueba ni escapa del parámetro cf-api antes de devolverlo a la respuesta, conllevando a un ataque de tipo Cross-Site Scripting Reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2022

Vulnerabilidad en la acción AJAX get_monthly_timetable en el parámetro month en el plugin Daily Prayer Time de WordPress (CVE-2022-0785)
Fecha de publicación:
18/04/2022
Idioma:
Español
El plugin Daily Prayer Time de WordPress versiones anteriores a 2022.03.01, no sanea y escapa del parámetro month antes de usarlo en una sentencia SQL por medio de la acción AJAX get_monthly_timetable (disponible para usuarios no autenticados), conllevando a una inyección SQL no autenticada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/04/2022
Suscribirse a Vulnerabilidades