Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en rails-html-sanitizer (CVE-2022-23518)

Fecha de publicación:
14/12/2022
Idioma:
Español
rails-html-sanitizer es responsable de sanitizar fragmentos HTML en aplicaciones Rails. Las versiones >= 1.0.3, < 1.4.4 son vulnerables a Cross-Site Scripting (XSS) a través de URI de datos cuando se usan en combinación con Loofah >= 2.1.0. Este problema está parcheado en la versión 1.4.4.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en vSphere_selfuse 2a9fe074a64f6a0dd8ac02f21e2f10d66cac5749 (CVE-2022-46996)

Fecha de publicación:
14/12/2022
Idioma:
Español
Se descubrió que vSphere_selfuse commit 2a9fe074a64f6a0dd8ac02f21e2f10d66cac5749 contenía una puerta trasera de ejecución de código a través del paquete de solicitud. Esta vulnerabilidad permite a los atacantes acceder a información confidencial del usuario y claves de moneda digital, así como escalar privilegios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/04/2025

Vulnerabilidad en D-Link DIR-3040 (CVE-2022-44832)

Fecha de publicación:
14/12/2022
Idioma:
Español
Se descubrió que el dispositivo D-Link DIR-3040 con firmware 120B03 contiene una vulnerabilidad de inyección de comandos a través de la función SetTriggerLEDBlink.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2025

Vulnerabilidad en Python3-RESTfulAPI d9907f14e9e25dcdb54f5b22252b0e9452e3970e y e772e0beee284c50946e94c54a1d43071ca78b74 (CVE-2022-46609)

Fecha de publicación:
14/12/2022
Idioma:
Español
Se descubrió que la confirmación Python3-RESTfulAPI d9907f14e9e25dcdb54f5b22252b0e9452e3970e y e772e0beee284c50946e94c54a1d43071ca78b74 contenían una puerta trasera de ejecución de código a través del paquete de solicitud. Esta vulnerabilidad permite a los atacantes acceder a información confidencial del usuario y claves de moneda digital, así como escalar privilegios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2025

Vulnerabilidad en Passhunt 54eb987d30ead2b8ebbf1f0b880aa14249323867 (CVE-2022-46997)

Fecha de publicación:
14/12/2022
Idioma:
Español
Se descubrió que la confirmación de Passhunt 54eb987d30ead2b8ebbf1f0b880aa14249323867 contenía una puerta trasera de ejecución de código a través del paquete de solicitud. Esta vulnerabilidad permite a los atacantes acceder a información confidencial del usuario y claves de moneda digital, así como escalar privilegios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/04/2025

Vulnerabilidad en collective.dms.basecontent (CVE-2022-4495)

Fecha de publicación:
14/12/2022
Idioma:
Español
Una vulnerabilidad clasificada como problemática fue encontrada en collective.dms.basecontent hasta 1.6. Este problema afecta la función renderCell del archivo src/collective/dms/basecontent/browser/column.py. La manipulación conduce a cross site scripting. El ataque puede iniciarse de forma remota. La actualización a la versión 1.7 puede solucionar este problema. El nombre del parche es 6c4d616fcc771822a14ebae5e23f3f6d96d134bd. Se recomienda actualizar el componente afectado. A esta vulnerabilidad se le asignó el identificador VDB-215813.
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/05/2024

Vulnerabilidad en Asus Aura Sync (CVE-2022-44898)

Fecha de publicación:
14/12/2022
Idioma:
Español
El componente MsIo64.sys en Asus Aura Sync hasta v1.07.79 no valida correctamente la entrada a IOCTL 0x80102040, 0x80102044, 0x80102050 y 0x80102054, lo que permite a los atacantes desencadenar una corrupción de memoria y provocar una denegación de servicio (DoS) o escalar privilegios a través de solicitudes IOCTL manipuladas.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/04/2025

Vulnerabilidad en Proxmox Virtual Environment (CVE-2022-31358)

Fecha de publicación:
14/12/2022
Idioma:
Español
Una vulnerabilidad de cross site scripting (XSS) reflejado en Proxmox Virtual Environment anterior a v7.2-3 permite a atacantes remotos ejecutar scripts web o HTML de su elección a través de endpoints inexistentes en la ruta /api2/html/.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/07/2026

Vulnerabilidad en Loofah sobre Nokogiri (CVE-2022-23514)

Fecha de publicación:
14/12/2022
Idioma:
Español
Loofah es una librería general para manipular y transformar documentos y fragmentos HTML / XML, construida sobre Nokogiri. Loofah < 2.19.1 contiene una expresión regular ineficiente que es susceptible a un retroceso excesivo al intentar sanitizar ciertos atributos SVG. Esto puede provocar una denegación de servicio a través del consumo de recursos de CPU. Este problema está parcheado en la versión 2.19.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en Loofah sobre Nokogiri (CVE-2022-23515)

Fecha de publicación:
14/12/2022
Idioma:
Español
Loofah es una librería general para manipular y transformar documentos y fragmentos HTML / XML, construida sobre Nokogiri. Loofah >= 2.1.0, < 2.19.1 es vulnerable a Cross-Site Scripting (XSS) a través del tipo de medio image/svg+xml en las URI de datos. Este problema está parcheado en la versión 2.19.1.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/11/2025

Vulnerabilidad en Loofah sobre Nokogiri (CVE-2022-23516)

Fecha de publicación:
14/12/2022
Idioma:
Español
Loofah es una librería general para manipular y transformar documentos y fragmentos HTML/XML, construida sobre Nokogiri. Loofah versiones >= 2.2.0 y < 2.19.1 usa recursividad para sanitizar secciones CDATA, lo que la hace susceptible al agotamiento de la pila de memoria y genera una excepción SystemStackError. Esto puede provocar una denegación de servicio debido al consumo de recursos de la CPU. Este problema se solucionó en la versión 2.19.1. Los usuarios que no puedan actualizar pueden mitigar esta vulnerabilidad limitando la longitud de las cadenas que se sanitizan.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en MeterSphere (CVE-2022-23512)

Fecha de publicación:
14/12/2022
Idioma:
Español
MeterSphere es una plataforma integral de pruebas continuas de código abierto. Las versiones anteriores a la 2.4.1 son vulnerables a la inyección de ruta en ApiTestCaseService::deleteBodyFiles, que toma una identificación de cadena controlada por el usuario y la pasa a ApiTestCaseService, que usa el valor proporcionado por el usuario (testId) en un nuevo archivo (BODY_FILE_DIR + "/" + testId), siendo eliminado posteriormente por file.delete(). Al agregar algunos parámetros de camuflaje a la URL, un atacante puede apuntar a archivos en el servidor. La vulnerabilidad se ha solucionado en v2.4.1.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/12/2022