Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en BIG-IP SSL Forward Proxy con TLS (CVE-2022-23016)
Fecha de publicación:
25/01/2022
Idioma:
Español
En las versiones 16.1.x antes de 16.1.2 y 15.1.x antes de 15.1.4.1, cuando BIG-IP SSL Forward Proxy con TLS versión 1.3 está configurado en un servidor virtual, las peticiones no reveladas pueden causar una terminación del Microkernel de Administración del Tráfico (TMM). Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2022

Vulnerabilidad en el ajuste "Respond on Error" en BIG-IP (CVE-2022-23020)
Fecha de publicación:
25/01/2022
Idioma:
Español
En BIG-IP versiones 16.1.x anteriores a 16.1.2, cuando el ajuste "Respond on Error" está habilitado en el perfil de registro de peticiones y configurado en un servidor virtual, las peticiones no reveladas pueden causar una terminación del Microkernel de Administración del Tráfico (TMM). Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2022

Vulnerabilidad en un perfil HTTP en un servidor virtual en BIG-IP (CVE-2022-23022)
Fecha de publicación:
25/01/2022
Idioma:
Español
En BIG-IP versiones 16.1.x anteriores a 16.1.2, cuando es configurado un perfil HTTP en un servidor virtual, las peticiones no reveladas pueden causar una terminación del Microkernel de Administración del Tráfico (TMM). Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2022

Vulnerabilidad en BIG-IP (CVE-2022-23021)
Fecha de publicación:
25/01/2022
Idioma:
Español
En BIG-IP versiones 16.1.x anteriores a 16.1.2, cuando cualquiera de las siguientes configuraciones está configurada en un servidor virtual, las peticiones no reveladas pueden causar una terminación del Traffic Management Microkernel (TMM): Regla de redireccionamiento HTTP en una política LTM, Perfil de acceso de BIG-IP APM y Proxy HTTP explícito en el perfil HTTP. Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2022

Vulnerabilidad en un servidor virtual de tipo de enrutamiento de mensajes en BIG-IP (CVE-2022-23019)
Fecha de publicación:
25/01/2022
Idioma:
Español
En BIG-IP versiones 16.1.x anteriores a 16.1.2, 15.1.x anteriores a 15.1.4.1, 14.1.x anteriores a 14.1.4.4, y todas las versiones de 13.1.x y 12.1.x, cuando un servidor virtual de tipo de enrutamiento de mensajes está configurado con perfiles de sesión y de enrutador Diameter, el tráfico no revelado puede causar un aumento en el uso de recursos de memoria. Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2022

Vulnerabilidad en los perfiles de seguridad del protocolo HTTP y de conexión proxy HTTP en BIG-IP AFM (CVE-2022-23018)
Fecha de publicación:
25/01/2022
Idioma:
Español
En BIG-IP AFM versiones 16.1.x anteriores a 16.1.2, 15.1.x anteriores a 15.1.4.1, 14.1.x anteriores a 14.1.4.5, y 13.1.x a partir de la 13.1.3.4, cuando un servidor virtual está configurado con los perfiles de seguridad del protocolo HTTP y de conexión proxy HTTP, las peticiones no reveladas pueden causar una terminación del Microkernel de Administración del Tráfico (TMM). Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2022

Vulnerabilidad en un perfil DNS con el ajuste de Modo de Respuesta Rápida habilitado en BIG-IP (CVE-2022-23017)
Fecha de publicación:
25/01/2022
Idioma:
Español
En BIG-IP versiones 16.x anteriores a 16.1.0, 15.1.x anteriores a 15.1.4.1, 14.1.x anteriores a 14.1.4.5, y todas las versiones de la 13.1.x, cuando un servidor virtual está configurado con un perfil DNS con el ajuste de Modo de Respuesta Rápida habilitado y está configurado en un sistema BIG-IP, las peticiones no reveladas pueden causar una terminación del Microkernel de Administración del Tráfico (TMM). Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2022

Vulnerabilidad en NGINX Controller API Management (CVE-2022-23008)
Fecha de publicación:
25/01/2022
Idioma:
Español
En NGINX Controller API Management versiones 3.18.0-3.19.0, un atacante autenticado con acceso al rol "user" o "admin" puede usar endpoints de API no revelados en NGINX Controller API Management para inyectar código JavaScript que es ejecutado en instancias de plano de datos NGINX administradas. Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/06/2023

Vulnerabilidad en Hitachi Energy LinkOne (CVE-2021-40337)
Fecha de publicación:
25/01/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) en Hitachi Energy LinkOne permite a un atacante que consiga explotar la vulnerabilidad pueda aprovechar para realizar múltiples ataques web y robar información confidencial. Este problema afecta a: Hitachi Energy LinkOne versiones 3.20; 3.22; 3.23; 3.24; 3.25; 3.26
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/01/2022

Vulnerabilidad en la autenticación HTTP "Basic" (CVE-2021-43298)
Fecha de publicación:
25/01/2022
Idioma:
Español
El código que lleva a cabo la coincidencia de contraseñas cuando es usada la autenticación HTTP "Basic" no usa un memcmp de tiempo constante y no presenta limitación de velocidad. Esto significa que un atacante de red no autenticado puede forzar la contraseña básica HTTP, byte a byte, registrando el tiempo de respuesta del servidor web hasta la respuesta no autorizada (401)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/02/2022

Vulnerabilidad en el servicio web de actividades h5p en Moodle (CVE-2022-0332)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se encontró un fallo en Moodle versiones 3.11 a 3.11.4. Se identificó un riesgo de inyección SQL en el servicio web de actividades h5p, responsable de conseguir los datos de los intentos de los usuarios
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/02/2022

Vulnerabilidad en GitHub Enterprise Server (CVE-2021-41598)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se ha identificado una vulnerabilidad de tergiversación de la interfaz de usuario en GitHub Enterprise Server que permitía conceder más permisos durante el flujo web de autorización de usuarios de una GitHub App de los que eran mostrados al usuario durante la aprobación. Para explotar esta vulnerabilidad, un atacante tendría que crear una GitHub App en la instancia y hacer que un usuario autorice la aplicación mediante el flujo de autenticación web. Todos los permisos concedidos serían mostrados correctamente durante la primera autorización, pero si el usuario actualizaba posteriormente el conjunto de repositorios en los que estaba instalada la aplicación después de que la aplicación de GitHub hubiera configurado permisos adicionales a nivel de usuario, esos permisos adicionales no serían mostrados, conllevando a una concesión de más permisos de los que el usuario podría haber previsto. Esta vulnerabilidad afectaba a todas las versiones de GitHub Enterprise Server anteriores a la 3.3 y fue corregido en las versiones 3.2.5, 3.1.13 y 3.0.21. Esta vulnerabilidad fue reportada por medio del programa GitHub Bug Bounty
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades