Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el paquete simple-git (CVE-2022-24066)
Fecha de publicación:
01/04/2022
Idioma:
Español
El paquete simple-git versiones anteriores a 3.5.0, es vulnerable a una inyección de comandos debido a una corrección incompleta de [CVE-2022-24433](https://security.snyk.io/vuln/SNYK-JS-SIMPLEGIT-2421199) que sólo parchea contra el vector de ataque git fetch. Un uso similar de la función --upload-pack de git también es compatible con git clone, que la corrección anterior no cubría
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Wyse Device Agent (CVE-2022-23157)
Fecha de publicación:
01/04/2022
Idioma:
Español
Wyse Device Agent versión 14.6.1.4 y anteriores, contienen una vulnerabilidad de exposición de datos confidenciales. Un usuario malicioso autenticado podría explotar potencialmente esta vulnerabilidad para visualizar información confidencial del servidor WMS
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2022

Vulnerabilidad en Wyse Device Agent (CVE-2022-23156)
Fecha de publicación:
01/04/2022
Idioma:
Español
Wyse Device Agent versión 14.6.1.4 y anteriores, contienen una vulnerabilidad de autenticación inapropiada. Un usuario malicioso podría explotar esta vulnerabilidad al proporcionar una entrada no válida para obtener una conexión con el servidor WMS
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2022

Vulnerabilidad en Dell Wyse Management Suite (CVE-2022-23155)
Fecha de publicación:
01/04/2022
Idioma:
Español
Dell Wyse Management Suite versiones 2.0 a 3.5.2 , contienen una vulnerabilidad de carga de archivos sin restricciones. Un usuario malicioso con privilegios de administrador puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2022

Vulnerabilidad en el repositorio de GitHub radareorg/radare2 (CVE-2022-1207)
Fecha de publicación:
01/04/2022
Idioma:
Español
Una lectura fuera de límites en el repositorio de GitHub radareorg/radare2 versiones anteriores a 5.6.8. Esta vulnerabilidad permite a atacantes leer información confidencial desde fuera del límite del búfer asignado
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2022

Vulnerabilidad en una inyección de argumentos hg en el paquete cocoapods-downloader (CVE-2022-21223)
Fecha de publicación:
01/04/2022
Idioma:
Español
El paquete cocoapods-downloader versiones anteriores a 1.6.2, es vulnerable a la inyección de comandos por medio de una inyección de argumentos hg. Cuando es llamada a la función de descarga (cuando se usa hg), la url (y/o revisión, etiqueta, rama) es pasada al comando hg clone de forma que pueden establecerse flags adicionales. Las flags adicionales pueden ser usadas para llevar a cabo una inyección de comandos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/04/2022

Vulnerabilidad en una inyección de argumentos git en el paquete cocoapods-downloader (CVE-2022-24440)
Fecha de publicación:
01/04/2022
Idioma:
Español
El paquete cocoapods-downloader versiones anteriores a 1.6.0, a partir de la 1.6.2 y anteriores a 1.6.3 son vulnerables a la inyección de comandos por medio de una inyección de argumentos git. Cuando es llamada a la función Pod::Downloader.preprocess_options y es usado git, tanto el parámetro git como el de la rama son pasados al subcomando git ls-remote de forma que pueden establecerse flags adicionales. Las flags adicionales pueden usarse para llevar a cabo una inyección de comandos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/04/2022

Vulnerabilidad en IBM UrbanCode Deploy (UCD) (CVE-2022-22327)
Fecha de publicación:
01/04/2022
Idioma:
Español
IBM UrbanCode Deploy (UCD) versiones 7.0.5, 7.1.0, 7.1.1 y 7.1.2, usa algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 218859
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2022

Vulnerabilidad en IBM Sterling Partner Engagement Manager (CVE-2022-22332)
Fecha de publicación:
01/04/2022
Idioma:
Español
IBM Sterling Partner Engagement Manager versión 6.2.0, podría permitir a un atacante hacerse pasar por otro usuario debido a una falta de un mecanismo de revocación para el token JWT. IBM X-Force ID: 219131
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2022

Vulnerabilidad en IBM App Connect Enterprise Certified Container Dashboard UI (IBM App Connect Enterprise Certified Container) (CVE-2022-22404)
Fecha de publicación:
01/04/2022
Idioma:
Español
IBM App Connect Enterprise Certified Container Dashboard UI (IBM App Connect Enterprise Certified Container versiones 1.5, 2.0, 2.1, 3.0 y 3.1) puede ser vulnerable a una denegación de servicio debido a una limitación excesiva de la velocidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2022

Vulnerabilidad en IBM SterlingPartner Engagement Manager (CVE-2022-22328)
Fecha de publicación:
01/04/2022
Idioma:
Español
IBM SterlingPartner Engagement Manager versión 6.2.0, podría permitir a un usuario malicioso elevar sus privilegios y llevar a cabo operaciones no deseadas en los datos de otro usuario. IBM X-Force ID: 218871
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en IBM SterlingPartner Engagement Manager (CVE-2022-22331)
Fecha de publicación:
01/04/2022
Idioma:
Español
IBM SterlingPartner Engagement Manager versión 6.2.0, podría permitir a un atacante autenticado de forma remota obtener información confidencial o modificar los detalles del usuario, causado por una vulnerabilidad de objeto directo inseguro (IDOR). IBM X-Force ID: 219130
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023
Suscribirse a Vulnerabilidades