Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Hitachi Energy LinkOne (CVE-2021-40337)
Fecha de publicación:
25/01/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) en Hitachi Energy LinkOne permite a un atacante que consiga explotar la vulnerabilidad pueda aprovechar para realizar múltiples ataques web y robar información confidencial. Este problema afecta a: Hitachi Energy LinkOne versiones 3.20; 3.22; 3.23; 3.24; 3.25; 3.26
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/01/2022

Vulnerabilidad en la autenticación HTTP "Basic" (CVE-2021-43298)
Fecha de publicación:
25/01/2022
Idioma:
Español
El código que lleva a cabo la coincidencia de contraseñas cuando es usada la autenticación HTTP "Basic" no usa un memcmp de tiempo constante y no presenta limitación de velocidad. Esto significa que un atacante de red no autenticado puede forzar la contraseña básica HTTP, byte a byte, registrando el tiempo de respuesta del servidor web hasta la respuesta no autorizada (401)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/02/2022

Vulnerabilidad en el servicio web de actividades h5p en Moodle (CVE-2022-0332)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se encontró un fallo en Moodle versiones 3.11 a 3.11.4. Se identificó un riesgo de inyección SQL en el servicio web de actividades h5p, responsable de conseguir los datos de los intentos de los usuarios
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/02/2022

Vulnerabilidad en GitHub Enterprise Server (CVE-2021-41598)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se ha identificado una vulnerabilidad de tergiversación de la interfaz de usuario en GitHub Enterprise Server que permitía conceder más permisos durante el flujo web de autorización de usuarios de una GitHub App de los que eran mostrados al usuario durante la aprobación. Para explotar esta vulnerabilidad, un atacante tendría que crear una GitHub App en la instancia y hacer que un usuario autorice la aplicación mediante el flujo de autenticación web. Todos los permisos concedidos serían mostrados correctamente durante la primera autorización, pero si el usuario actualizaba posteriormente el conjunto de repositorios en los que estaba instalada la aplicación después de que la aplicación de GitHub hubiera configurado permisos adicionales a nivel de usuario, esos permisos adicionales no serían mostrados, conllevando a una concesión de más permisos de los que el usuario podría haber previsto. Esta vulnerabilidad afectaba a todas las versiones de GitHub Enterprise Server anteriores a la 3.3 y fue corregido en las versiones 3.2.5, 3.1.13 y 3.0.21. Esta vulnerabilidad fue reportada por medio del programa GitHub Bug Bounty
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo xx_users.ini de la carpeta FormStorm en Charactell - FormStorm Enterprise Account takeover (CVE-2022-22789)
Fecha de publicación:
25/01/2022
Idioma:
Español
Charactell - FormStorm Enterprise Account takeover - Un atacante puede modificar (añadir, eliminar y actualizar) el archivo de contraseñas de todos los usuarios. El archivo xx_users.ini de la carpeta FormStorm contiene nombres de usuario en texto sin cifrar y una contraseña ofuscada. Un usuario malicioso puede hacerse con una cuenta al sustituir la contraseña existente en el archivo
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2022

Vulnerabilidad en el plugin WP Google Map de WordPress (CVE-2021-45729)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de escalada de privilegios en el plugin WP Google Map de WordPress (versiones anteriores a 1.8.0 incluyéndola) permite a usuarios autenticados de bajo rol crear, editar y eliminar mapas
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2022

Vulnerabilidad en la capa de réplica de bloques de QEMU (CVE-2021-4145)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se encontró un problema de desreferencia de puntero NULL en la capa de réplica de bloques de QEMU en versiones anteriores a 6.2.0. El puntero "self" es dereferenciado en mirror_wait_on_conflicts() sin asegurar que no sea NULL. Un usuario malicioso no privilegiado dentro del huésped podría usar este fallo para bloquear el proceso de QEMU en el host cuando la escritura de datos alcanza el umbral del nodo de reflejo
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/09/2022

Vulnerabilidad en Moodle (CVE-2022-0333)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se ha encontrado un fallo en Moodle versiones 3.11 hasta 3.11.4, versiones 3.10 hasta 3.10.8, versiones 3.9 hasta 3.9.11 y versiones anteriores no soportadas. La capacidad calendar:manageentries permitía a administradores acceder o modificar cualquier evento del calendario, pero debería haberse restringido el acceso a los eventos de nivel de usuario
Gravedad CVSS v3.1: BAJA
Última modificación:
21/12/2022

Vulnerabilidad en Moodle (CVE-2022-0334)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se encontró un fallo en Moodle versiones 3.11 hasta 3.11.4, versiones 3.10 hasta 3.10.8, versiones 3.9 hasta 3.9.11 y versiones anteriores no soportadas. Una comprobación insuficiente de las capacidades podía conllevar a que usuarios accedieran a su informe de calificaciones para cursos en los que no tenían la capacidad gradereport/user:view requerida
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/12/2022

Vulnerabilidad en la funcionalidad "delete badge alignment" en Moodle (CVE-2022-0335)
Fecha de publicación:
25/01/2022
Idioma:
Español
Se ha encontrado un fallo en Moodle en las versiones 3.11 hasta 3.11.4, versiones 3.10 hasta 3.10.8, versiones 3.9 hasta 3.9.11 y versiones anteriores no soportadas. La funcionalidad "delete badge alignment" no incluía la comprobación de tokens necesaria para evitar un riesgo de tipo CSRF
Gravedad CVSS v3.1: ALTA
Última modificación:
21/12/2022

Vulnerabilidad en Micro Focus en Micro Focus Operations Agent (CVE-2021-38129)
Fecha de publicación:
25/01/2022
Idioma:
Español
Una vulnerabilidad de escalada de privilegios en Micro Focus en Micro Focus Operations Agent, afectando a versiones 12.x hasta 12.21 incluyéndola. La vulnerabilidad podría ser aprovechada por un usuario local no privilegiado para acceder a los datos de supervisión del sistema recopilados por Operations Agent
Gravedad CVSS v3.1: BAJA
Última modificación:
07/11/2023

Vulnerabilidad en un archivo JT en Autodesk Inventor (CVE-2021-40158)
Fecha de publicación:
25/01/2022
Idioma:
Español
Un archivo JT malicioso en Autodesk Inventor 2022, 2021, 2020, 2019 y AutoCAD 2022 puede ser forzado a leer más allá de los límites asignados cuando se analiza el archivo JT. Esta vulnerabilidad, junto con otras, podría conducir a la ejecución de código en el contexto del proceso actual
Gravedad CVSS v3.1: ALTA
Última modificación:
16/11/2022
Suscribirse a Vulnerabilidades