Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Red Hat Single Sign-On (CVE-2022-1466)
Fecha de publicación:
26/04/2022
Idioma:
Español
Debido a una autorización inapropiada, Red Hat Single Sign-On es vulnerable a que usuarios lleven a cabo acciones que no deberían estar autorizados a realizar. Era posible añadir usuarios al reino maestro aunque no sea concedido el permiso correspondiente
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2022

Vulnerabilidad en Discourse Assign (CVE-2022-24866)
Fecha de publicación:
26/04/2022
Idioma:
Español
Discourse Assign es un plugin para asignar usuarios a un tema en Discourse, una plataforma de mensajería de código abierto. En versiones anteriores a 1.0.1, el UserBookmarkSerializer serializaba todo el objeto User / Group, lo que filtraba determinada información privada. Los datos sólo eran serializados a personas que podían visualizar la información de la asignación, que está limitada al personal por defecto. Para la gran mayoría de los sitios, estos datos sólo son filtrados a miembros del personal confiables, pero para los sitios con características de asignación habilitadas públicamente, los datos fueron accesibles a más personas que sólo el personal. La versión 1.0.1 contiene un parche. Actualmente no se presentan medidas de mitigación conocidas
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2022

Vulnerabilidad en la página de administración que permite un ataque de tipo XSS por una insuficiente comprobación de scripts (CVE-2021-26628)
Fecha de publicación:
26/04/2022
Idioma:
Español
Una insuficiente comprobación de scripts de la página de administración permite un ataque de tipo XSS, lo que causa que usuarios no autorizados roben privilegios de administrador. Cuando es subido un archivo en un menú específico, la verificación de los archivos es insuficiente. Permite a atacantes remotos subir archivos arbitrarios disfrazándolos de archivos de imagen
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/05/2022

Vulnerabilidad en CipherMail Webmail Messenger (CVE-2022-28218)
Fecha de publicación:
26/04/2022
Idioma:
Español
Se ha detectado un problema en CipherMail Webmail Messenger versiones 1.1.1 hasta 4.1.4. Un atacante local podría acceder a las claves secretas (que son encontradas en un archivo de configuración de Roundcube) que son usadas para proteger las contraseñas de los usuarios de Webmail y la autenticación de dos factores (2FA)
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Ballcat Codegen (CVE-2022-24881)
Fecha de publicación:
26/04/2022
Idioma:
Español
Ballcat Codegen proporciona la función de edición de código en línea para generar plantillas. En versiones anteriores a 1.0.0.beta.2, los atacantes pueden implementar una ejecución de código remota mediante una inyección de código malicioso del motor de plantillas. Esto sucede porque son introducidas plantillas Velocity y freemarker pero no es realizada la verificación de la entrada. El fallo ha sido rectificado en la versión 1.0.0.beta.2
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/05/2022

Vulnerabilidad en Apache Doris (CVE-2022-23942)
Fecha de publicación:
26/04/2022
Idioma:
Español
Apache Doris, versiones anteriores a 1.0.0, usaba una clave y un IV embebidos para inicializar el cifrado usado para la contraseña de ldap, lo que podía conllevar a una revelación de información
Gravedad CVSS v3.1: ALTA
Última modificación:
06/05/2022

Vulnerabilidad en el repositorio de GitHub getgrav/grav (CVE-2022-1173)
Fecha de publicación:
26/04/2022
Idioma:
Español
Una vulnerabilidad de tipo xss almacenado en el repositorio de GitHub getgrav/grav versiones anteriores a 1.7.33
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2022

Vulnerabilidad en FreeRDP (CVE-2022-24882)
Fecha de publicación:
26/04/2022
Idioma:
Español
FreeRDP es una implementación libre del protocolo de escritorio remoto (RDP). En las versiones anteriores a 2.7.0, la autenticación NT LAN Manager (NTLM) no aborta correctamente cuando alguien proporciona un valor de contraseña vacío. Este problema afecta a las implementaciones del servidor RDP basadas en FreeRDP. Los clientes RDP no están afectados. La vulnerabilidad está parcheada en FreeRDP versión 2.7.0. Actualmente no se presentan medidas de mitigación conocidas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/11/2025

Vulnerabilidad en FreeRDP (CVE-2022-24883)
Fecha de publicación:
26/04/2022
Idioma:
Español
FreeRDP es una implementación libre del protocolo de escritorio remoto (RDP). En versiones anteriores a 2.7.0, la autenticación del lado del servidor contra un archivo "SAM" podría tener éxito para credenciales inválidas si el servidor ha configurado una ruta de archivo "SAM" inválida. Los clientes basados en FreeRDP no están afectados. Las implementaciones de servidores RDP que usan FreeRDP para autenticar contra un archivo "SAM" están afectadas. La versión 2.7.0 contiene una corrección para este problema. Como mitigación, use la autenticación personalizada por medio de "HashCallback" y/o asegúrese de que la ruta de la base de datos "SAM" configurada es válida y que la aplicación dispone de los manejadores del archivo
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en el parámetro menu_filter en el archivo /administrator/templates/default/html/windows/right.php en CuppaCMS (CVE-2022-27984)
Fecha de publicación:
26/04/2022
Idioma:
Español
Se ha detectado que CuppaCMS versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro menu_filter en el archivo /administrator/templates/default/html/windows/right.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/05/2022

Vulnerabilidad en el archivo /administrator/alerts/alertLightbox.php en CuppaCMS (CVE-2022-27985)
Fecha de publicación:
26/04/2022
Idioma:
Español
Se ha detectado que CuppaCMS versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del archivo /administrator/alerts/alertLightbox.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/05/2022

Vulnerabilidad en Monstaftp (CVE-2022-27468)
Fecha de publicación:
26/04/2022
Idioma:
Español
Se ha detectado que Monstaftp versión v2.10.3, contiene una carga de archivos arbitraria que permite a atacantes ejecutar código arbitrario por medio de un archivo diseñado subido al servidor web
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/05/2022
Suscribirse a Vulnerabilidades