Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en JFrog Artifactory (CVE-2021-45074)
Fecha de publicación:
02/03/2022
Idioma:
Español
JFrog Artifactory versiones anteriores a 7.29.3 y 6.23.38, es vulnerable a Un Control de Acceso Roto, un usuario con poco privilegiado es capaz de borrar el token OAuth de otros usuarios conocidos, lo que forzará a una re-autenticación en una sesión activa o en la siguiente sesión de la UI
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2022

Vulnerabilidad en la interfaz de línea de comandos de AOS-CX en múltiples conmutadores Aruba (CVE-2021-41000)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se han detectados múltiples vulnerabilidades de ejecución de código remota autenticado en la interfaz de línea de comandos de AOS-CX en las versiones de la serie de conmutadores Aruba CX 6200F, la serie de conmutadores Aruba 6300, la serie de conmutadores Aruba 6400, la serie de conmutadores Aruba 8320, la serie de conmutadores Aruba 8325, la serie de conmutadores Aruba 8400 y la serie de conmutadores Aruba CX 8360: AOS-CX versión 10.06.xxxx: 10.06.0170 y anteriores, AOS-CX versiones 10.07.xxxx: 10.07.0050 y anteriores, AOS-CX versiones 10.08.xxxx: 10.08.1030 y anteriores. Aruba ha publicado actualizaciones para los dispositivos Aruba AOS-CX que abordan estas vulnerabilidades de seguridad
Gravedad CVSS v3.1: ALTA
Última modificación:
27/09/2022

Vulnerabilidad en el motor de análisis de red (NAE) de AOS-CX en múltiples conmutadores Aruba (CVE-2021-41001)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de ejecución de código remoto autenticado en el motor de análisis de red (NAE) de AOS-CX en las versiones de la serie de conmutadores Aruba CX 6200F, la serie de conmutadores Aruba 6300, la serie de conmutadores Aruba 6400, la serie de conmutadores Aruba 8320, la serie de conmutadores Aruba 8325, la serie de conmutadores Aruba 8400 y la serie de conmutadores Aruba CX 8360: AOS-CX versiones 10.07.xxxx: 10.07.0050 y anteriores, AOS-CX versiones 10.08.xxxx: 10.08.1030 y anteriores, AOS-CX versiones 10.09.xxxx: 10.09.0002 y anteriores. Aruba ha publicado actualizaciones para los dispositivos Aruba AOS-CX que abordan esta vulnerabilidad de seguridad
Gravedad CVSS v3.1: ALTA
Última modificación:
27/09/2022

Vulnerabilidad en la interfaz de línea de comandos de AOS-CX en múltiples conmutadores Aruba (CVE-2021-41002)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se han detectado múltiples vulnerabilidades de salto de ruta remoto autenticadas en la interfaz de línea de comandos de AOS-CX en las versiones de la serie de conmutadores Aruba CX 6200F, la serie de conmutadores Aruba 6300, la serie de conmutadores Aruba 6400, la serie de conmutadores Aruba 8320, la serie de conmutadores Aruba 8325, la serie de conmutadores Aruba 8400 y la serie de conmutadores Aruba CX 8360: AOS-CX versiones 10.06.xxxx: 10.06.0170 y anteriores, AOS-CX versiones 10.07.xxxx: 10.07.0050 y anteriores, AOS-CX versiones 10.08.xxxx: 10.08.1030 y anteriores, AOS-CX versiones 10.09.xxxx: 10.09.0002 y anteriores. Aruba ha publicado actualizaciones para los dispositivos Aruba AOS-CX que abordan estas vulnerabilidades de seguridad
Gravedad CVSS v3.1: ALTA
Última modificación:
27/09/2022

Vulnerabilidad en la interfaz API de AOS-CX en múltiples conmutadores Aruba (CVE-2021-41003)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se han detectado múltiples vulnerabilidades de inyección de comandos sin autenticación en la interfaz API de AOS-CX en las versiones de Aruba CX 6200F Switch Series, Aruba 6300 Switch Series, Aruba 6400 Switch Series, Aruba 8320 Switch Series, Aruba 8325 Switch Series, Aruba 8400 Switch Series, Aruba CX 8360 Switch Series: AOS-CX versiones 10.06.xxxx: 10.06.0170 y anteriores, AOS-CX versiones 10.07.xxxx: 10.07.0050 y anteriores, AOS-CX versiones 10.08.xxxx: 10.08.1030 y anteriores, AOS-CX versiones 10.09.xxxx: 10.09.0002 y anteriores. Aruba ha publicado actualizaciones para los dispositivos Aruba AOS-CX que abordan estas vulnerabilidades de seguridad
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/09/2022

Vulnerabilidad en el encabezado "Set-Cookie2" en HAProxy (CVE-2022-0711)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se ha encontrado un fallo en la forma en que HAProxy procesa las respuestas HTTP que contienen el encabezado "Set-Cookie2". Este fallo podría permitir a un atacante enviar paquetes de respuesta HTTP diseñados que conllevaran a un bucle infinito, resultando eventualmente en una situación de denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en JFrog Artifactory (CVE-2021-46270)
Fecha de publicación:
02/03/2022
Idioma:
Español
JFrog Artifactory versiones anteriores a 7.31.10, es vulnerable a un Control de Acceso Roto, donde un usuario administrador del proyecto es capaz de listar todos los nombres de repositorios disponibles debido a una comprobación de permisos insuficiente
Gravedad CVSS v3.1: BAJA
Última modificación:
26/06/2023

Vulnerabilidad en reglas no administradas en el sistema objetivo (CVE-2022-0675)
Fecha de publicación:
02/03/2022
Idioma:
Español
En determinadas situaciones es posible que se presente una regla no administrada en el sistema objetivo que tenga el mismo comentario que la regla especificada en el manifiesto. Esto podría permitir la existencia de reglas no administradas en el sistema objetivo y dejar el sistema en un estado no seguro
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/03/2022

Vulnerabilidad en las descripciones de eventos de calendario de VMware Workspace ONE Boxer (CVE-2022-22944)
Fecha de publicación:
02/03/2022
Idioma:
Español
VMware Workspace ONE Boxer contiene una vulnerabilidad de tipo cross-site scripting (XSS) almacenada. Debido a un saneamiento y comprobación insuficientes, en las descripciones de eventos de calendario de VMware Workspace ONE Boxer, un actor malicioso puede inyectar etiquetas de script para ejecutar un script arbitrario dentro de la ventana de un usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2022

Vulnerabilidad en la página de temas recientes en Zulip (CVE-2022-23656)
Fecha de publicación:
02/03/2022
Idioma:
Español
Zulip es una aplicación de chat en equipo de código abierto. La rama de desarrollo "main" de Zulip Server de junio de 2021 y posteriores, es susceptible a una vulnerabilidad de tipo cross-site scripting en la página de temas recientes. Un atacante podría diseñar maliciosamente un nombre completo para su cuenta y enviar mensajes a un tema con varios participantes; una víctima que abra un tooltip de desbordamiento que incluya este nombre completo en la página de temas recientes podría desencadenar una ejecución de código JavaScript controlado por el atacante. Los usuarios que ejecuten un servidor Zulip desde la rama principal deben actualizar desde la principal (01-03-2022 o posterior) de nuevo para implementar esta corrección
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/03/2022

Vulnerabilidad en Home Owners Collection Management System (CVE-2022-25045)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se ha detectado que Home Owners Collection Management System versión v1.0, contiene credenciales embebidas que permiten a atacantes escalar privilegios y acceder al panel de administración
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/03/2022

Vulnerabilidad en la BIOS de algunos productos de PC de HP (CVE-2022-23953)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se han identificado posibles vulnerabilidades en la BIOS de algunos productos de PC de HP que pueden permitir una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/03/2022
Suscribirse a Vulnerabilidades