Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el plugin Perfect Brands for WooCommerce de WordPress (CVE-2022-23982)
Fecha de publicación:
18/02/2022
Idioma:
Español
La vulnerabilidad detectada en el plugin Perfect Brands for WooCommerce de WordPress (versiones anteriores a 2.0.4 incluyéndola) permite una exposición de información del servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
24/02/2022

CVE-2022-24445
Fecha de publicación:
18/02/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en nombres de archivos de imágenes en Ibexa DXP ezsystems/ezpublish-kernel (CVE-2022-25337)
Fecha de publicación:
18/02/2022
Idioma:
Español
Ibexa DXP ezsystems/ezpublish-kernel versiones 7.5.x anteriores a 7.5.26 y versiones 1.3.x anteriores a 1.3.12, permite ataques de inyección por medio de nombres de archivos de imágenes
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/03/2022

Vulnerabilidad en el plugin Perfect Brands for WooCommerce de WordPress (CVE-2022-23981)
Fecha de publicación:
18/02/2022
Idioma:
Español
Una vulnerabilidad permite a usuarios de nivel Subscriber+ crear marcas en el plugin Perfect Brands for WooCommerce de WordPress (versiones anteriores a 2.0.4 incluyéndola)
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/02/2022

Vulnerabilidad en el modificador onlyOwner para setMultipleAllowances en RigoBlock Dragos (CVE-2022-25335)
Fecha de publicación:
18/02/2022
Idioma:
Español
RigoBlock Dragos versiones hasta 17-02-2022, carece del modificador onlyOwner para setMultipleAllowances. Esto permite una manipulación de tokens, como es explotado "in the wild" en febrero de 2022. NOTA: aunque el 17-02-2022 es la fecha de anuncio de la vulnerabilidad por parte del proveedor, la vulnerabilidad no será solucionada hasta que sea producida una actualización importante del protocolo
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en Ibexa DXP ezsystems/ezpublish-kernel (CVE-2022-25336)
Fecha de publicación:
18/02/2022
Idioma:
Español
Ibexa DXP ezsystems/ezpublish-kernel versiones 7.5.x anteriores a 7.5.26 y versiones 1.3.x anteriores a 1.3.12, permite ataques de Referencia Directa a Objetos Insegura (IDOR) contra archivos de imagen porque la ruta de la imagen y el nombre del archivo pueden ser deducidos correctamente
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en LemMinX (CVE-2022-0672)
Fecha de publicación:
18/02/2022
Idioma:
Español
Se ha encontrado un fallo en LemMinX en versiones anteriores a 0.19.0. Un redireccionamiento no seguro podría permitir el acceso no autorizado a información confidencial localmente si LemMinX es ejecutado bajo un usuario con privilegios
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2022

Vulnerabilidad en LemMinX (CVE-2022-0673)
Fecha de publicación:
18/02/2022
Idioma:
Español
Se ha encontrado un fallo en LemMinX en versiones anteriores a 0.19.0. Un envenenamiento de la caché de los archivos de esquemas externos debido a un salto de directorio
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2022

Vulnerabilidad en MMP, PTP C-series, PTMP C-series y A5x (CVE-2022-21141)
Fecha de publicación:
18/02/2022
Idioma:
Español
MMP: Todas las versiones anteriores a v1.0.3, PTP C-series: Versiones de dispositivos anteriores a v2.8.6.1, y PTMP C-series y A5x: Versiones de dispositivos anteriores a v2.5.4.1, no llevan a cabo comprobaciones de autorización apropiadas en múltiples funciones de la API. Un atacante puede obtener acceso a estas funciones y lograr una ejecución de código remota, crear una condición de denegación de servicio y obtener información confidencial
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/02/2022

Vulnerabilidad en la entrada del usuario en MMP, PTP C-series, PTMP C-series y A5x (CVE-2022-21143)
Fecha de publicación:
18/02/2022
Idioma:
Español
MMP: Todas las versiones anteriores a v1.0.3, PTP serie C: Versiones de dispositivos anteriores a v2.8.6.1, y PTMP C-series y A5x: Versiones de dispositivos anteriores a v2.5.4.1, no sanean apropiadamente la entrada del usuario en varias ubicaciones, lo que puede permitir a un atacante inyectar comandos arbitrarios
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/02/2022

Vulnerabilidad en la entrada del usuario en MMP, PTP C-series, PTMP C-series y A5x (CVE-2022-21176)
Fecha de publicación:
18/02/2022
Idioma:
Español
MMP: Todas las versiones anteriores a v1.0.3, PTP C-series: Versiones de dispositivos anteriores a v2.8.6.1, y PTMP C-series y A5x: Versiones de dispositivos anteriores a v2.5.4.1, no sanean apropiadamente la entrada del usuario, lo que puede permitir a un atacante llevar a cabo una inyección SQL y obtener información confidencial
Gravedad CVSS v3.1: ALTA
Última modificación:
26/02/2022

Vulnerabilidad en el servidor de Mimosa MMP en MMP, PTP C-series, PTMP C-series y A5x (CVE-2022-21215)
Fecha de publicación:
18/02/2022
Idioma:
Español
Esta vulnerabilidad podría permitir a un atacante forzar al servidor a crear y ejecutar una petición web que conceda acceso a las APIs del backend que sólo son accesibles para el servidor de Mimosa MMP, o solicitar páginas que podrían llevar a cabo algunas acciones por sí mismas. El atacante podría forzar al servidor a acceder a rutas en esas plataformas de alojamiento en la nube, acceder a claves secretas, cambiar configuraciones, etc. Afecta a MMP: Todas las versiones anteriores a v1.0.3, PTP C-series: Versiones de dispositivos anteriores a v2.8.6.1, y PTMP C-series y A5x: Versiones de dispositivos anteriores a v2.5.4.1
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/02/2022
Suscribirse a Vulnerabilidades