Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en AVEVA System Platform (CVE-2021-32981)
Fecha de publicación:
04/04/2022
Idioma:
Español
AVEVA System Platform versiones 2017 hasta 2020 R2 P01, usa una entrada externa para construir un nombre de ruta que pretende identificar un archivo o directorio que es encontrado debajo de un directorio principal restringido, pero el software no neutraliza apropiadamente los elementos especiales dentro del nombre de ruta que pueden causar que el nombre de ruta sea resuelto a una ubicación que está fuera del directorio restringido
Gravedad CVSS v3.1: ALTA
Última modificación:
13/04/2022

Vulnerabilidad en Xerox ColorQube 8580 (CVE-2022-26572)
Fecha de publicación:
04/04/2022
Idioma:
Español
Se ha detectado que Xerox ColorQube 8580 contiene un problema de control de acceso que permite a atacantes imprimir, visualizar el estado y obtener información confidencial
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en Directus (CVE-2022-24814)
Fecha de publicación:
04/04/2022
Idioma:
Español
Directus es una API y un panel de control de aplicaciones en tiempo real para administrar el contenido de las bases de datos SQL. En versiones anteriores a 9.7.0, podía ejecutarse JavaScript (JS) no autorizado mediante la inserción de un iframe en la interfaz html de texto enriquecido que enlaza con un archivo HTML cargado que carga otro archivo JS cargado en su etiqueta de script. Esto satisface el encabezado de la política de seguridad de contenido regular, que a su vez permite que el archivo ejecute cualquier JS arbitrario. Este problema fue resuelto en versión 9.7.0. Como medida de mitigación, deshabilite la inserción en vivo en "what-you-see-is-what-you-get" al añadir "{ "media_live_embeds": false }" a la opción _Options Overrides_ de la interfaz HTML de Texto Enriquecido
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/04/2022

Vulnerabilidad en la extracción de una clave del software en Bettini Srl GAMS Product Line (CVE-2022-25569)
Fecha de publicación:
04/04/2022
Idioma:
Español
Se ha detectado que Bettini Srl GAMS Product Line v4.3.0, reúsa las claves SSH estáticas en todas las instalaciones, permitiendo a atacantes no autenticados iniciar sesión como usuarios root por medio de la extracción de una clave del software
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2022

Vulnerabilidad en Subrion CMS (CVE-2021-43464)
Fecha de publicación:
04/04/2022
Idioma:
Español
Se presenta una vulnerabilidad de Ejecución de Código Remoto (RCE) en Subrion CMS versión 4.2.1, por medio de código modificado en un campo de fondo; cuando la información es modificada, los datos en ella serán ejecutados mediante eval()
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2022

Vulnerabilidad en el repositorio de GitHub janeczku/calibre-web (CVE-2022-0990)
Fecha de publicación:
04/04/2022
Idioma:
Español
Una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el repositorio de GitHub janeczku/calibre-web versiones anteriores a 0.6.18
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/11/2024

Vulnerabilidad en Twisted (CVE-2022-24801)
Fecha de publicación:
04/04/2022
Idioma:
Español
Twisted es un marco de trabajo basado en eventos para aplicaciones de Internet, que soporta Python versión 3.6+. versiones hasta 22.4.0rc1, el servidor Twisted Web HTTP 1.1, ubicado en el módulo "twisted.web.http", analizaba varias construcciones de peticiones HTTP de forma más indulgente de lo permitido por el RFC 7230. Este análisis no conforme puede conllevar a una desincronización si las peticiones pasan por varios analizadores HTTP, resultando potencialmente en un contrabando de peticiones HTTP. Los usuarios que pueden verse afectados usan el servidor y/o proxy HTTP versión 1.1 de Twisted Web y también pasan peticiones mediante un servidor y/o proxy HTTP diferente. El cliente de Twisted Web no está afectado. El servidor HTTP versión 2.0 usa un parser diferente, por lo que no está afectado. El problema ha sido abordado en Twisted 22.4.0rc1. Se presentan dos medidas de mitigación disponibles: Asegurarse de que ha sido abordada cualquier vulnerabilidad en los proxies de subida, por ejemplo, actualizándolos; o filtrar las peticiones malformadas por otros medios, como la configuración de un proxy de subida
Gravedad CVSS v3.1: ALTA
Última modificación:
25/11/2024

Vulnerabilidad en CreateWiki (CVE-2022-24813)
Fecha de publicación:
04/04/2022
Idioma:
Español
CreateWiki es la extensión MediaWiki de Miraheze para solicitar y crear wikis. Sin el parche para este problema, pueden hacerse comentarios anónimos usando Special:RequestWikiQueue cuando son enviados directamente por medio de POST. Un parche para este problema está disponible en la rama "master" del repositorio GitHub de CreateWiki
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/06/2023

Vulnerabilidad en Vyper (CVE-2022-24787)
Fecha de publicación:
04/04/2022
Idioma:
Español
Vyper es un Lenguaje de Contratos Inteligentes de Python para la Máquina Virtual de Ethereum. En versiones 0.3.1 y anteriores, las cadenas de bytes pueden presentar bytes sucios, resultando en que las comparaciones palabra por palabra den resultados incorrectos. Incluso sin bytes sucios distintos de cero, dos bytestrings pueden compararse como iguales si uno termina con "\x00" porque no se presenta comparación de la longitud. Se presenta un parche disponible y es esperado que forme parte de la versión 0.3.2. Actualmente no se presentan medidas de mitigación conocidas
Gravedad CVSS v3.1: ALTA
Última modificación:
02/08/2023

Vulnerabilidad en los paquetes en $files = Dir::getList($decompath. "/ Upload/Plugins / en HisiPHP (CVE-2020-28062)
Fecha de publicación:
04/04/2022
Idioma:
Español
Se presenta una vulnerabilidad de Control de Acceso en HisiPHP versión 2.0.11, por medio de paquetes especiales que son construidos en $files = Dir::getList($decompath. "/ Upload/Plugins /, lo que podría permitir a un usuario remoto malicioso ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
12/04/2022

Vulnerabilidad en Moment.js (CVE-2022-24785)
Fecha de publicación:
04/04/2022
Idioma:
Español
Moment.js es una librería de fechas en JavaScript para analizar, comprobar, manipular y formatear fechas. Una vulnerabilidad de salto de ruta afecta a usuarios de npm (servidor) de Moment.js entre las versiones 1.0.1 y 2.29.1, especialmente si es usada directamente una cadena de configuración regional proporcionada por el usuario para cambiar la configuración regional de Moment. Este problema está parcheado en la versión 2.29.2, y el parche puede aplicarse a todas las versiones afectadas. Como medida de mitigación, sanee el nombre de la configuración regional proporcionada por el usuario antes de pasarlo a Moment.js
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en el tema Noo JobMonster de WordPress (CVE-2022-1170)
Fecha de publicación:
04/04/2022
Idioma:
Español
En el tema Noo JobMonster de WordPress versiones anteriores a 4.5.2.9, JobMonster se presenta una vulnerabilidad de tipo XSS como la entrada para el formulario de búsqueda es proporcionada mediante peticiones GET sin sanear
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2022
Suscribirse a Vulnerabilidades