Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el software IPM de Intelligent Power Manager (IPM 1) (CVE-2021-23287)
Fecha de publicación:
01/04/2022
Idioma:
Español
La vulnerabilidad se presenta debido a que no es comprobado suficientemente la entrada de determinados recursos en el software IPM. Este problema afecta a: Intelligent Power Manager (IPM 1) versiones anteriores a 1.70
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/04/2022

Vulnerabilidad en darkhttpd (CVE-2020-25691)
Fecha de publicación:
01/04/2022
Idioma:
Español
Se ha encontrado un fallo en darkhttpd. Un manejo de errores no válidos permite a atacantes remotos causar una denegación de servicio al acceder a un archivo con una fecha de modificación grande. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
31/01/2024

Vulnerabilidad en la actualización para el módulo virt:rhel de Red Hat Enterprise Linux (CVE-2021-20295)
Fecha de publicación:
01/04/2022
Idioma:
Español
Se ha detectado que la actualización para el módulo virt:rhel en la fe de erratas RHSA-2020:4676 (https://access.redhat.com/errata/RHSA-2020:4676) publicada como parte de Red Hat Enterprise Linux versión 8.3, no incluía la corrección del problema del componente qemu-kvm CVE-2020-10756, que fue corregido previamente en virt:rhel/qemu-kvm por medio de la fe de erratas RHSA-2020:4059 (https://access.redhat.com/errata/RHSA-2020:4059). CVE-2021-20295 fue asignado a esa regresión de seguridad específica de Red Hat. Para más detalles sobre el problema de seguridad original CVE-2020-10756, consulte el bug 1835986 o la página CVE: https://access.redhat.com/security/cve/CVE-2020-10756
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/10/2022

Vulnerabilidad en la configuración de encendido en OpenShift Container Platform 4 (CVE-2021-20238)
Fecha de publicación:
01/04/2022
Idioma:
Español
Se ha encontrado en OpenShift Container Platform 4 que la configuración de encendido, servida por el Machine Config Server, puede ser accedida externamente desde los clusters sin autenticación. El endpoint del MCS (puerto 22623) proporciona la configuración de ignición usada para el arranque de los nodos y puede incluir algunos datos confidenciales, por ejemplo, secretos de extracción del registro. Se presentan dos escenarios en los que puede accederse a estos datos. El primero es en los despliegues de Baremetal, OpenStack, Ovirt, Vsphere y KubeVirt que no presentan un endpoint de API interno separado y permiten el acceso desde fuera del clúster al puerto 22623 desde la dirección IP virtual de la API estándar de OpenShift. La segunda es en los despliegues en la nube cuando son usados plugins de red no soportados, que no crean reglas iptables que impidan al puerto 22623. En este escenario, la configuración de encendido está expuesta a todos los pods dentro del clúster y no puede accederse externamente
Gravedad CVSS v3.1: BAJA
Última modificación:
26/06/2023

CVE-2022-27306
Fecha de publicación:
01/04/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en una carga útil en el campo de texto Page Name en Totaljs (CVE-2022-26565)
Fecha de publicación:
01/04/2022
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) en Totaljs todas las versiones antes del commit 95f54a5commit, permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload crafteado inyectado en el campo de texto Page Name al crear una nueva página
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/05/2022

Vulnerabilidad en Wyse Device Agent (CVE-2022-23158)
Fecha de publicación:
01/04/2022
Idioma:
Español
Wyse Device Agent versión 14.6.1.4 y anteriores, contienen una vulnerabilidad de exposición de datos confidenciales. Un usuario local autenticado con privilegios estándar podría explotar esta vulnerabilidad y proporcionar información incorrecta sobre el puerto y conectarse a un servidor WMS válido
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2022

Vulnerabilidad en el componente Advanced Driver Restore en Dell Command | Update, Dell Update y Alienware Update (CVE-2022-24426)
Fecha de publicación:
01/04/2022
Idioma:
Español
La versión 4.4.0 de Dell Command | Update, Dell Update y Alienware Update contiene una vulnerabilidad de escalada de privilegios local en el componente Advanced Driver Restore. Un usuario local malintencionado podría explotar esta vulnerabilidad, llevando a una escalada de privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/05/2022

Vulnerabilidad en el archivo provider/libserver/ECKrbAuth.cpp de Kopano-Core (CVE-2022-26562)
Fecha de publicación:
01/04/2022
Idioma:
Español
Un problema en el archivo provider/libserver/ECKrbAuth.cpp de Kopano-Core versión v11.0.2.51, contiene un problema que permite a atacantes autenticarse incluso si la cuenta de usuario o la contraseña han caducado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/05/2023

Vulnerabilidad en el paquete simple-git (CVE-2022-24066)
Fecha de publicación:
01/04/2022
Idioma:
Español
El paquete simple-git versiones anteriores a 3.5.0, es vulnerable a una inyección de comandos debido a una corrección incompleta de [CVE-2022-24433](https://security.snyk.io/vuln/SNYK-JS-SIMPLEGIT-2421199) que sólo parchea contra el vector de ataque git fetch. Un uso similar de la función --upload-pack de git también es compatible con git clone, que la corrección anterior no cubría
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en Wyse Device Agent (CVE-2022-23157)
Fecha de publicación:
01/04/2022
Idioma:
Español
Wyse Device Agent versión 14.6.1.4 y anteriores, contienen una vulnerabilidad de exposición de datos confidenciales. Un usuario malicioso autenticado podría explotar potencialmente esta vulnerabilidad para visualizar información confidencial del servidor WMS
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2022

Vulnerabilidad en Wyse Device Agent (CVE-2022-23156)
Fecha de publicación:
01/04/2022
Idioma:
Español
Wyse Device Agent versión 14.6.1.4 y anteriores, contienen una vulnerabilidad de autenticación inapropiada. Un usuario malicioso podría explotar esta vulnerabilidad al proporcionar una entrada no válida para obtener una conexión con el servidor WMS
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2022
Suscribirse a Vulnerabilidades