Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Frappe (CVE-2022-3988)
Fecha de publicación:
14/11/2022
Idioma:
Español
Se encontró una vulnerabilidad en Frappe. Ha sido calificado como problemático. Una función desconocida del archivo frappe/templates/includes/navbar/navbar_search.html del componente Buscar es afectada por esta vulnerabilidad. La manipulación del argumento q conduce a cross site scripting. El ataque puede lanzarse de forma remota. El nombre del parche es bfab7191543961c6cb77fe267063877c31b616ce. Se recomienda aplicar un parche para solucionar este problema. El identificador de esta vulnerabilidad es VDB-213560.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Apache Airflow (CVE-2022-27949)
Fecha de publicación:
14/11/2022
Idioma:
Español
Una vulnerabilidad en la interfaz de usuario de Apache Airflow permite a un atacante ver secretos desenmascarados en valores de plantilla representados para tareas que no se ejecutaron (por ejemplo, cuando dependían de instancias pasadas y anteriores de la tarea que fallaron). Este problema afecta a Apache Airflow antes de la versión 2.3.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/04/2025

Vulnerabilidad en Apache Airflow (CVE-2022-40127)
Fecha de publicación:
14/11/2022
Idioma:
Español
Una vulnerabilidad en Dags de ejemplo de Apache Airflow permite a un atacante con acceso a la interfaz de usuario que puede activar DAG ejecutar comandos arbitrarios a través del parámetro run_id proporcionado manualmente. Este problema afecta a las versiones de Apache Airflow Apache Airflow anteriores a la 2.4.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/04/2025

Vulnerabilidad en GNOME Nautilus 42.2 (CVE-2022-37290)
Fecha de publicación:
14/11/2022
Idioma:
Español
GNOME Nautilus 42.2 permite una desreferencia del puntero NULL y el bloqueo de la aplicación get_basename a través de un archivo ZIP pegado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/05/2025

Vulnerabilidad en Ironman Software PowerShell Universal (CVE-2022-45183)
Fecha de publicación:
14/11/2022
Idioma:
Español
La escalada de privilegios en el servidor web en Ironman Software PowerShell Universal 2.x y 3.x permite a un atacante con un token de aplicación válido recuperar otros tokens de aplicación por ID a través de una solicitud web HTTP. Las versiones parcheadas son 3.5.3, 3.4.7 y 2.12.6.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/11/2022

Vulnerabilidad en Ironman Software PowerShell Universal (CVE-2022-45184)
Fecha de publicación:
14/11/2022
Idioma:
Español
El servidor web en Ironman Software PowerShell Universal v3.x y v2.x permite directory traversal fuera del directorio de configuración, lo que permite a un atacante remoto con privilegios de administrador crear, eliminar, actualizar y mostrar archivos fuera del directorio de configuración a través de un Solicitud HTTP manipulada para endpoints particulares en el servidor web. Las versiones parcheadas son 3.5.3 y 3.4.7.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/11/2022

Vulnerabilidad en Pillow (CVE-2022-45199)
Fecha de publicación:
14/11/2022
Idioma:
Español
Pillow anterior a 9.3.0 permite la denegación de servicio a través de SAMPLESPERPIXEL.
Gravedad CVSS v3.1: ALTA
Última modificación:
10/01/2023

Vulnerabilidad en Pillow (CVE-2022-45198)
Fecha de publicación:
14/11/2022
Idioma:
Español
Pillow anterior a 9.2.0 realiza un manejo inadecuado de datos GIF altamente comprimidos (amplificación de datos).
Gravedad CVSS v3.1: ALTA
Última modificación:
10/01/2023

Vulnerabilidad en PHP (CVE-2022-31630)
Fecha de publicación:
14/11/2022
Idioma:
Español
En versiones de PHP anteriores a 7.4.33, 8.0.25 y 8.2.12, cuando se usa la función imageloadfont() en la extensión gd, es posible proporcionar un archivo de fuente especialmente manipulado, como si la fuente cargada se usa con imagechar() función, se utilizará la lectura fuera del búfer asignado. Esto puede provocar fallos o divulgación de información confidencial.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/04/2024

Vulnerabilidad en Xiongmai XM-JPR2-LX (CVE-2021-38828)
Fecha de publicación:
14/11/2022
Idioma:
Español
La cámara Xiongmai XM-JPR2-LX V4.02.R12.A6420987.10002.147502.00000 es vulnerable al rastreo de tráfico de texto plano.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en Xiongmai XM-JPR2-LX (CVE-2021-38827)
Fecha de publicación:
14/11/2022
Idioma:
Español
La cámara Xiongmai XM-JPR2-LX V4.02.R12.A6420987.10002.147502.00000 es vulnerable a la apropiación de cuentas.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/04/2025

Vulnerabilidad en NagVis (CVE-2022-3979)
Fecha de publicación:
13/11/2022
Idioma:
Español
Una vulnerabilidad fue encontrada en NagVis hasta 1.9.33 y clasificada como problemática. Este problema afecta la función checkAuthCookie del archivo compartido/server/core/classes/CoreLogonMultisite.php. La manipulación del argumento hash conduce a una conversión de tipo incorrecta. El ataque puede iniciarse de forma remota. La actualización a la versión 1.9.34 puede solucionar este problema. El nombre del parche es 7574fd8a2903282c2e0d1feef5c4876763db21d5. Se recomienda actualizar el componente afectado. A esta vulnerabilidad se le asignó el identificador VDB-213557.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025
Suscribirse a Vulnerabilidades