Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Delta Electronics CNCSoft (CVE-2022-1404)
Fecha de publicación:
31/08/2022
Idioma:
Español
Delta Electronics CNCSoft (Todas las versiones anteriores a la 1.01.32) no sanea correctamente la entrada mientras procesa un archivo de proyecto específico, lo que permite una posible condición de lectura fuera de límites
Gravedad CVSS v3.1: ALTA
Última modificación:
07/09/2022

Vulnerabilidad en Clmg (CVE-2022-1325)
Fecha de publicación:
31/08/2022
Idioma:
Español
Se ha encontrado un fallo en Clmg, donde con la ayuda de un archivo pandore o bmp maliciosamente diseñado con valores de campo de encabezados dx y dy modificados, es posible engañar a la aplicación para que asigne tamaños de búfer enormes, como 64 Gigabytes, al leer el archivo desde el disco o desde un búfer virtual
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/09/2022

Vulnerabilidad en Alpha7 PC Loader (CVE-2022-1888)
Fecha de publicación:
31/08/2022
Idioma:
Español
Alpha7 PC Loader (Todas las versiones) es vulnerable a un desbordamiento del búfer en la región stack de la memoria mientras procesa un archivo de proyecto específicamente diseñado, lo que puede permitir a un atacante ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
07/09/2022

Vulnerabilidad en un archivo de entrada en la función match_reload en el archivo lra-constraints.c en gcc (CVE-2020-35536)
Fecha de publicación:
31/08/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el archivo gcc/ipa-cp.c en la función ipcp_store_vr_results en gcc (CVE-2020-35537)
Fecha de publicación:
31/08/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el software de foros NodeBB (CVE-2022-36045)
Fecha de publicación:
31/08/2022
Idioma:
Español
El software de foros NodeBB está impulsado por Node.js y es compatible con Redis, MongoDB o una base de datos PostgreSQL. Utiliza web sockets para interacciones instantáneas y notificaciones en tiempo real. `utils.generateUUID`, una función de ayuda disponible en prácticamente todas las versiones de NodeBB (desde la v1.0.1 y potencialmente antes) utilizaba un generador de números pseudoaleatorios criptográficamente inseguro (`Math.random()`), lo que significaba que un script especialmente diseñado combinado con múltiples invocaciones de la funcionalidad de restablecimiento de contraseña podía permitir a un atacante calcular correctamente el código de restablecimiento para una cuenta a la que no tuviera acceso. Esta vulnerabilidad afecta a todas las instalaciones de NodeBB. La vulnerabilidad permite a un atacante tomar el control de cualquier cuenta sin la participación de la víctima, y como tal, la remediación debe ser aplicada inmediatamente (ya sea a través de la actualización de NodeBB o cherry-pick del conjunto de cambios específicos. La vulnerabilidad ha sido parcheada en las versiones 2.x y 1.19.x. No hay una solución conocida, pero los conjuntos de parches listados arriba parcharán completamente la vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/09/2022

Vulnerabilidad en Flux (CVE-2022-36035)
Fecha de publicación:
31/08/2022
Idioma:
Español
Flux es una herramienta para mantener los clusters Kubernetes sincronizados con las fuentes de configuración (como los repositorios Git), y para automatizar las actualizaciones de la configuración cuando se presenta nuevo código que desplegar. Flux CLI permite a usuarios desplegar componentes de Flux en un clúster de Kubernetes por medio de la línea de comandos. La vulnerabilidad permite que otras aplicaciones sustituyan la información de despliegue de Flux por contenido arbitrario que es desplegado en el clúster Kubernetes de destino. La vulnerabilidad es debido a un manejo inapropiado de la entrada suministrada por el usuario, lo que resulta en un recorrido de ruta que puede ser controlado por el atacante. Los usuarios que compartan el mismo shell entre otras aplicaciones y los comandos CLI de Flux podrían verse afectados por esta vulnerabilidad. En algunos escenarios no presentan errores, lo que puede causar que usuarios finales no den cuenta de que algo anda mal. Una mitigación segura es ejecutar Flux CLI en entornos de shell efímeros y aislados, lo que puede garantizar que no existan valores persistentes de procesos anteriores. Sin embargo, la actualización a la última versión de la CLI sigue siendo la estrategia de mitigación recomendada
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2022

Vulnerabilidad en Joomla! (CVE-2022-27911)
Fecha de publicación:
31/08/2022
Idioma:
Español
Se ha detectado un problema en Joomla! Versión 4.2.0. Múltiples Divulgaciones de la Trayectoria Completa por Falta de "_JEXEC or die check" causados por los cambios del PSR12
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2022

Vulnerabilidad en Apache Geode (CVE-2022-37023)
Fecha de publicación:
31/08/2022
Idioma:
Español
Apache Geode versiones anteriores a 1.15.0, son vulnerables a un fallo de deserialización de datos no confiables cuando es usada la API REST en Java versión 8 o Java versión 11. Cualquier usuario que desee protegerse contra los ataques de deserialización que implican las APIs REST debe actualizar a Apache Geode versión 1.15 y seguir la documentación para detalles sobre la habilitación de "validate-serializable-objects=true" y especificar cualquier clase de usuario que pueda ser serializada/de serializada con "serializable-object-filter". Activar "validate-serializable-objects" puede afectar al rendimiento
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2022

Vulnerabilidad en Apache Geode (CVE-2022-37022)
Fecha de publicación:
31/08/2022
Idioma:
Español
Apache Geode versiones hasta 1.12.2 y 1.13.2, son vulnerables a un fallo de deserialización de datos no confiables cuando es usado JMX sobre RMI en Java versión 11. Cualquier usuario que desee protegerse contra los ataques de deserialización que implican JMX o RMI debe actualizar a Apache Geode versión 1.15. El uso de la versión 1.15 en Java 11 protegerá automáticamente a JMX sobre RMI contra los ataques de deserialización. Esto no debería tener ningún impacto en el rendimiento ya que sólo afecta a JMX/RMI que Gfsh usa para comunicarse con el Administrador JMX que está alojado en un Localizador
Gravedad CVSS v3.1: ALTA
Última modificación:
06/09/2022

Vulnerabilidad en Apache Geode (CVE-2022-37021)
Fecha de publicación:
31/08/2022
Idioma:
Español
Apache Geode versiones hasta 1.12.5, 1.13.4 y 1.14.0, son vulnerables a un fallo de deserialización de datos no confiables cuando es usado JMX sobre RMI en Java 8. Cualquier usuario que todavía esté en Java 8 y desee protegerse contra los ataques de deserialización que involucran a JMX o RMI debe actualizar a Apache Geode versión 1.15 y Java versión 11. Si la actualización a Java versión 11 no es posible, entonces actualice a Apache Geode versión 1.15 y especifique "--J=-Dgeode.enableGlobalSerialFilter=true" cuando inicie cualquier Localizador o Servidor. Siga la documentación para detalles sobre la especificación de cualquier clase de usuario que pueda ser serializada/de serializada con la opción de configuración "serializable-object-filter". El uso de un filtro global de serialización afectará al rendimiento
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/09/2022

Vulnerabilidad en la utilidad Modpack Installer en Freeciv (CVE-2022-39047)
Fecha de publicación:
31/08/2022
Idioma:
Español
Freeciv versiones anteriores a 2.6.7 y anteriores a 3.0.3, es propenso a una vulnerabilidad de desbordamiento de búfer en el manejo de la URL del modpack por parte de la utilidad Modpack Installer
Gravedad CVSS v3.1: ALTA
Última modificación:
05/09/2022
Suscribirse a Vulnerabilidades