Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo src/jsvar.c en jsvNewFromString en Espruino (CVE-2022-25044)
Fecha de publicación:
05/03/2022
Idioma:
Español
Se ha detectado que Espruino versión 2v11.251, contenía un desbordamiento del búfer de la pila por medio del archivo src/jsvar.c en jsvNewFromString
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2022

Vulnerabilidad en una carga útil en /lib/contentState/pasteCtrl.js en Mark Text (CVE-2022-25069)
Fecha de publicación:
05/03/2022
Idioma:
Español
Se ha detectado que Mark Text versión v0.16.3, contiene una vulnerabilidad de tipo cross-site scripting (XSS) basada en el DOM que permite a atacantes llevar a cabo una ejecución de código remota (RCE) por medio de una inyección de una carga útil diseñada en /lib/contentState/pasteCtrl.js
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/03/2022

Vulnerabilidad en el extractor de hojas XSLTStyles de Any23 RDFa en Any23 (CVE-2022-25312)
Fecha de publicación:
05/03/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de inyección de tipo XML external entity (XXE) en el extractor de hojas XSLTStyles de Any23 RDFa y se sabe que afecta a las versiones de Any23 versiones anteriores a 2.7. La vulnerabilidad de tipo XML external entity (también se conoce como XXE) es una vulnerabilidad de seguridad web que permite a un atacante interferir con el procesamiento de datos XML de una aplicación. A menudo permite a un atacante visualizar archivos en el sistema de archivos del servidor de la aplicación, e interactuar con cualquier back-end o sistema externo al que la propia aplicación pueda acceder. Este problema ha sido corregido en Apache Any23 versión 2.7
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/03/2022

Vulnerabilidad en la interfaz web en D-Link DIR-X1860 (CVE-2021-46353)
Fecha de publicación:
04/03/2022
Idioma:
Español
Una revelación de información en la interfaz web en D-Link DIR-X1860 versiones anteriores a 1.03 RevA1, permite a un atacante remoto no autenticado enviar una petición HTTP especialmente diseñada y conseguir conocimiento de las diferentes rutas absolutas que están siendo usadas por la aplicación web
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2022

Vulnerabilidad en el parámetro HTTP X_TP_ExternalIPv6Address en dispositivos TP-Link Archer C20i (CVE-2021-44827)
Fecha de publicación:
04/03/2022
Idioma:
Español
Se ha detectado una inyección de comandos del Sistema Operativo autenticado en dispositivos TP-Link Archer C20i 0.9.1 3.2 versión v003a.0 Build 170221 Rel.55462n, mediante el parámetro HTTP X_TP_ExternalIPv6Address, permitiendo a un atacante remoto ejecutar comandos arbitrarios en el router con privilegios de root
Gravedad CVSS v3.1: ALTA
Última modificación:
15/03/2022

Vulnerabilidad en Rhinode Trading Paints (CVE-2021-40846)
Fecha de publicación:
04/03/2022
Idioma:
Español
Se ha detectado un problema en Rhinode Trading Paints versiones hasta 2.0.36. TP Updater.exe usa HTTP en texto sin cifrar para comprobar, y solicitar, las actualizaciones. Por lo tanto, los atacantes pueden usar un ataque de tipo man-in-the-middle para descargar un binario malicioso en lugar de la actualización real, sin errores ni advertencias de SSL
Gravedad CVSS v3.1: ALTA
Última modificación:
15/03/2022

Vulnerabilidad en MCMS (CVE-2021-46384)
Fecha de publicación:
04/03/2022
Idioma:
Español
https://gitee.com/mingSoft/MCMS MCMS versiones anteriores a 5.2.5 incluyéndola, está afectado por: RCE. El impacto es: ejecutar código arbitrario (remoto). El vector de ataque es: ${"freemarker.template.utility.Execute"?new()("calc")}. ¶¶ MCMS presenta una vulnerabilidad RCE pre autenticada mediante la cual permite a un atacante no autenticado con acceso a la red por medio de http comprometer MCMS. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MCMS
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/07/2022

Vulnerabilidad en los conjuntos de cifrado TLS-RSA en BigFix Compliance (CVE-2021-27756)
Fecha de publicación:
04/03/2022
Idioma:
Español
Los conjuntos de cifrado TLS-RSA no están deshabilitados en BigFix Compliance versiones hasta 2.0.5. Si TLS versión 2.0 y los cifrados seguros no están habilitados, un atacante puede grabar el tráfico de forma pasiva y descifrarlo posteriormente
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2022

Vulnerabilidad en Secomea GateManager (CVE-2021-32008)
Fecha de publicación:
04/03/2022
Idioma:
Español
Este problema afecta a: Secomea GateManager versión 9.6.621421014 y todas las versiones anteriores. Una limitación inapropiada de un nombre de ruta al directorio restringido, permite al administrador de GateManager que ha iniciado la sesión eliminar archivos o directorios del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2022

Vulnerabilidad en Dell EMC Enterprise Storage Analytics for vRealize Operations (CVE-2021-43590)
Fecha de publicación:
04/03/2022
Idioma:
Español
Dell EMC Enterprise Storage Analytics for vRealize Operations, versiones 4.0.1 a 6.2.1, contienen una vulnerabilidad de almacenamiento de contraseñas de texto plano. Un usuario local malicioso con altos privilegios puede explotar potencialmente esta vulnerabilidad, conllevando a una divulgación de determinadas credenciales de usuario. El atacante podría usar las credenciales expuestas para acceder a la aplicación vulnerable con los privilegios de la cuenta comprometida
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2022

Vulnerabilidad en el paquete weblate (CVE-2022-23915)
Fecha de publicación:
04/03/2022
Idioma:
Español
El paquete weblate desde la versión 0 y anteriores a 4.11.1 son vulnerables a una Ejecución de Código Remota (RCE) por medio de una inyección de argumentos cuando son usados repositorios git o mercurial. Los usuarios autenticados, pueden cambiar el comportamiento de la aplicación de una manera no intencionada, conllevando a una ejecución de comandos
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2022

Vulnerabilidad en una carga útil en la función genacgi_main en D-Link DIR-859 (CVE-2022-25106)
Fecha de publicación:
04/03/2022
Idioma:
Español
Se ha detectado que D-Link DIR-859 versión v1.05, contiene un desbordamiento de búfer en la versión stack de la memoria por medio de la función genacgi_main. Esta vulnerabilidad permite a atacantes causar una denegación de servicio (DoS) por medio de una carga útil diseñada
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/03/2022
Suscribirse a Vulnerabilidades