Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en GitHub (CVE-2022-4070)

Fecha de publicación:
20/11/2022
Idioma:
Español
Caducidad de Sesión Insuficiente en librenms/librenms del repositorio de GitHub anteriores a 22.10.0.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/11/2022

Vulnerabilidad en GitHub (CVE-2022-4068)

Fecha de publicación:
20/11/2022
Idioma:
Español
Un usuario puede habilitar su propia cuenta si un administrador la deshabilitó mientras el usuario aún tiene una sesión válida. Además, el nombre de usuario no se sanitiza adecuadamente en la descripción general del usuario administrador. Esto habilita un ataque XSS que permite a un atacante con un usuario con privilegios bajos ejecutar JavaScript arbitrario en el contexto de la cuenta de un administrador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/11/2022

Vulnerabilidad en GitHub (CVE-2022-3525)

Fecha de publicación:
20/11/2022
Idioma:
Español
Deserialización de Datos que no son de confianza en librenms/librenms del repositorio de GitHub anteriores a 22.10.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/11/2022

Vulnerabilidad en GitHub (CVE-2022-3561)

Fecha de publicación:
20/11/2022
Idioma:
Español
Cross-site Scripting (XSS) - Genérico en librenms/librenms del repositorio de GitHub anteriores a 22.10.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/04/2025

Vulnerabilidad en GitHub (CVE-2022-3562)

Fecha de publicación:
20/11/2022
Idioma:
Español
Stored Cross-site Scripting (XSS) en el repositorio de GitHub librenms/librenms anterior a 22.10.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2022

Vulnerabilidad en GitHub (CVE-2022-4067)

Fecha de publicación:
20/11/2022
Idioma:
Español
Cross-Site Scripting (XSS) - Stored en librenms/librenms del repositorio de GitHub antes de 22.10.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2022

Vulnerabilidad en GitHub (CVE-2022-3516)

Fecha de publicación:
20/11/2022
Idioma:
Español
Cross-Site Scripting (XSS) - Stored en el repositorio de GitHub librenms/librenms anterior a 22.10.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2022

Vulnerabilidad en cbeust testng (CVE-2022-4065)

Fecha de publicación:
19/11/2022
Idioma:
Español
Se encontró una vulnerabilidad en cbeust testng 7.5.0/7.6.0/7.6.1/7.7.0. Ha sido declarado crítico. La función testngXmlExistsInJar del archivo testng-core/src/main/java/org/testng/JarFileUtils.java del componente XML File Parser es afectada por esta vulnerabilidad. La manipulación conduce al Path Traversal. El ataque se puede lanzar de forma remota. La actualización a las versiones 7.5.1 y 7.7.1 puede solucionar este problema. El nombre del parche es 9150736cd2c123a6a3b60e6193630859f9f0422b. Se recomienda actualizar el componente afectado. El identificador asociado de esta vulnerabilidad es VDB-214027.
Gravedad CVSS v3.1: ALTA
Última modificación:
17/05/2024

Vulnerabilidad en davidmoreno Onion (CVE-2022-4066)

Fecha de publicación:
19/11/2022
Idioma:
Español
Se encontró una vulnerabilidad en davidmoreno onion. Ha sido calificado como problemático. La función onion_response_flush del archivo src/onion/response.c del componente Log Handler es afectada por esta vulnerabilidad. La manipulación conduce a la asignación de recursos. El nombre del parche es de8ea938342b36c28024fd8393ebc27b8442a161. Se recomienda aplicar el parche para solucionar este problema. El identificador de esta vulnerabilidad es VDB-214028.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Dalli (CVE-2022-4064)

Fecha de publicación:
19/11/2022
Idioma:
Español
Se encontró una vulnerabilidad en Dalli. Ha sido clasificado como problemático. La función self.meta_set del archivo lib/dalli/protocol/meta/request_formatter.rb del componente Meta Protocol Handler es afectada por la vulnerabilidad. La manipulación conduce a la inyección. El exploit ha sido divulgado al público y puede utilizarse. El nombre del parche es 48d594dae55934476fec61789e7a7c3700e0f50d. Se recomienda aplicar un parche para solucionar este problema. VDB-214026 es el identificador asignado a esta vulnerabilidad.
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/03/2025

Vulnerabilidad en Kubernetes (CVE-2022-41939)

Fecha de publicación:
19/11/2022
Idioma:
Español
knative.dev/func es una librería cliente y CLI que permite el desarrollo y la implementación de funciones de Kubernetes. Los desarrolladores que utilizan un paquete de compilación de terceros malicioso o comprometido podrían exponer sus credenciales de registro o su conector acoplable local a un contenedor de "ciclo de vida" malicioso. Este problema se solucionó en PR #1442 y es parte de la versión 1.8.1. Este problema solo afecta a los usuarios que utilizan paquetes de funciones de terceros; fijar la imagen del generador a un hash de contenido específico con una imagen de "lifecycle" válida también mitigará el ataque.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/03/2023

Vulnerabilidad en Flarum (CVE-2022-41938)

Fecha de publicación:
19/11/2022
Idioma:
Español
Flarum es una plataforma de debate de código abierto. El sistema de títulos de páginas de Flarum permitía que los títulos de las páginas se convirtieran en nodos HTML DOM cuando se representaban las páginas. El cambio se realizó después de la "v1.5" y no se notó. Esto permitió a un atacante inyectar etiquetas HTML maliciosas utilizando una entrada de título de discusión, ya sea creando una nueva discusión o cambiando el nombre de una. El ataque XSS ocurre después de que un visitante abre la página de discusión correspondiente. Todas las comunidades que ejecutan Flarum desde `v1.5.0` hasta `v1.6.1` se ven afectadas. La vulnerabilidad ha sido reparada y publicada como flarum/core `v1.6.2`. Todas las comunidades que ejecutan Flarum desde `v1.5.0` hasta `v1.6.1` deben actualizar lo antes posible a v1.6.2. No se conocen workarounds para este problema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/11/2022