Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Weave GitOps Enterprise (CVE-2022-38790)

Fecha de publicación:
01/09/2022
Idioma:
Español
Weave GitOps Enterprise versiones anteriores a 0.9.0-rc.5, presenta un fallo de tipo cross-site scripting (XSS) que permite a un usuario malicioso inyectar un enlace javascript: en la Interfaz de Usuario. Cuando un usuario víctima haga clic en él, el script será ejecutado con el permiso de la víctima. La exposición aparece en la Interfaz de Usuario de Weave GitOps Enterprise por medio de un enlace en el panel de control de GitopsCluster. Puede añadirse una anotación a un recurso personalizado de GitopsCluster
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/09/2022

Vulnerabilidad en Helm (CVE-2022-36055)

Fecha de publicación:
01/09/2022
Idioma:
Español
Helm es una herramienta para administrar Charts. Los Charts son paquetes de recursos Kubernetes preconfigurados. Las pruebas Fuzz, proporcionadas por el CNCF, identificaron la entrada de funciones en el paquete _strvals_ que pueden causar un pánico de memoria. El paquete _strvals_ contiene un analizador que convierte las cadenas en estructuras Go. El paquete _strvals_ convierte estas cadenas en estructuras con las que Go puede trabajar. Algunas entradas de cadenas pueden causar la creación de estructuras de datos de array causando un pánico de memoria. Las aplicaciones que usan el paquete _strvals_ en el SDK de Helm para analizar la entrada suministrada por el usuario pueden sufrir una Denegación de Servicio cuando esa entrada causa un pánico del que no puede recuperarse. El cliente de Helm entrará en pánico con la entrada de "--set", "--set-string", y otros flags de configuración de valores que causan un pánico de memoria. Helm no es un servicio de larga duración, por lo que el pánico no afectará a futuros usos del cliente Helm. Este problema ha sido resuelto en versión 3.9.4. Los usuarios del SDK pueden comprender que las cadenas suministradas por los usuarios no crearán matrices grandes que causen un uso significativo de la memoria antes de pasarlas a las funciones _strvals_
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2023

Vulnerabilidad en Contiki-NG (CVE-2022-36054)

Fecha de publicación:
01/09/2022
Idioma:
Español
Contiki-NG es un sistema operativo de código abierto y multiplataforma para dispositivos IoT de Próxima Generación. La implementación de 6LoWPAN en el sistema operativo Contiki-NG (archivo os/net/ipv6/sicslowpan.c) contiene una función de entrada que procesa los paquetes entrantes y los copia en un búfer de paquetes. Debido a una falta de comprobación de longitud en la función de entrada, es posible escribir fuera de límites del búfer de paquetes. La vulnerabilidad puede ser explotada por cualquiera que tenga la posibilidad de enviar paquetes 6LoWPAN a un sistema Contiki-NG. En particular, la vulnerabilidad queda expuesta cuando es enviado cualquiera de los dos tipos de paquetes 6LoWPAN: un paquete no fragmentado o el primer fragmento de un paquete fragmentado. Si el paquete es lo suficientemente grande, una copia de memoria posterior causará una escritura fuera de límites con los datos suministrados por el atacante
Gravedad CVSS v3.1: ALTA
Última modificación:
07/09/2022

Vulnerabilidad en Contiki-NG (CVE-2022-36053)

Fecha de publicación:
01/09/2022
Idioma:
Español
Contiki-NG es un sistema operativo de código abierto y multiplataforma para dispositivos IoT de Próxima Generación. La pila de red IPv6 de bajo consumo de Contiki-NG presenta un módulo de búfer (os/net/ipv6/uipbuf.c) que procesa los encabezados de extensión IPv6 en los paquetes de datos entrantes. Como parte de este procesamiento, la función uipbuf_get_next_header lanza un puntero a una estructura uip_ext_hdr en el búfer del paquete en los diferentes desplazamientos en los que es esperado encontrar las cabeceras de extensión, y luego lee de esta estructura. Debido a una falta de comprobación de límites, el casting puede hacerse de manera que la estructura sea extendida más allá del final del paquete. Por lo tanto, con un paquete cuidadosamente diseñado, es posible causar que el sistema Contiki-NG lea datos fuera del buffer del paquete. En Contiki-NG versión 4.8 es incluido un parche que corrige la vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
07/09/2022

Vulnerabilidad en Contiki-NG (CVE-2022-36052)

Fecha de publicación:
01/09/2022
Idioma:
Español
Contiki-NG es un sistema operativo de código abierto y multiplataforma para dispositivos IoT de Próxima Generación. La implementación de 6LoWPAN en Contiki-NG puede lanzar una estructura de encabezado UDP en un determinado desplazamiento en un búfer de paquetes. El código no comprueba si el búfer de paquetes es lo suficientemente grande como para que quepa una estructura de encabezado UDP completa a partir del desplazamiento en el que es realizado el casting. Por lo tanto, es posible causar una lectura fuera de límites más allá del buffer de paquetes. El problema afecta a cualquiera que ejecute dispositivos con Contiki-NG versiones anteriores a 4.8, y que puedan recibir paquetes 6LoWPAN de partes externas. El problema ha sido parcheado en Contiki-NG versión 4.8
Gravedad CVSS v3.1: ALTA
Última modificación:
07/09/2022

Vulnerabilidad en el repositorio GitHub francoisjacquet/rosariosis (CVE-2022-3072)

Fecha de publicación:
01/09/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Almacenado en el repositorio GitHub francoisjacquet/rosariosis versiones anteriores a 8.9.3
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/09/2022

Vulnerabilidad en la API de descarga de archivos en segundo plano en Novel-Plus (CVE-2022-36671)

Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado que Novel-Plus versión v3.6.2, contiene una vulnerabilidad de descarga de archivos arbitraria por medio de la API de descarga de archivos en segundo plano
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2023

Vulnerabilidad en el archivo de configuración del proyecto en Novel-Plus (CVE-2022-36672)

Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado que Novel-Plus versión v3.6.2, contiene una clave JWT embebida en el archivo de configuración del proyecto. Esta vulnerabilidad permite a atacantes crear una sesión de usuario personalizada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/09/2023

Vulnerabilidad en el controlador del kernel de la GPU Arm Mali (CVE-2022-36449)

Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado un problema en el controlador del kernel de la GPU Arm Mali. Un usuario no privilegiado puede realizar operaciones inapropiadas de procesamiento de la GPU para conseguir acceso a la memoria ya liberada, escribir una cantidad limitada fuera de límites del búfer o divulgar detalles de las asignaciones de memoria. Esto afecta a Midgard versiones r4p0 hasta r32p0, Bifrost versiones r0p0 hasta r38p0 y r39p0 anteriores a r38p1, y Valhall versiones r19p0 hasta r38p0 y r39p0 anteriores a r38p1
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/04/2025

Vulnerabilidad en el parámetro id en el archivo /schedules/view_schedule.php en Simple Task Scheduling System (CVE-2022-36674)

Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado que Simple Task Scheduling System versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro id en el archivo /schedules/view_schedule.php
Gravedad CVSS v3.1: ALTA
Última modificación:
02/09/2022

Vulnerabilidad en el parámetro id en el archivo /schedules/manage_schedule.php en Simple Task Scheduling System (CVE-2022-36675)

Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado que Simple Task Scheduling System versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro id en el archivo /schedules/manage_schedule.php
Gravedad CVSS v3.1: ALTA
Última modificación:
02/09/2022

Vulnerabilidad en el parámetro id en el archivo /categories/view_category.php en Simple Task Scheduling System (CVE-2022-36676)

Fecha de publicación:
01/09/2022
Idioma:
Español
Se ha detectado que Simple Task Scheduling System versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro id en el archivo /categories/view_category.php
Gravedad CVSS v3.1: ALTA
Última modificación:
02/09/2022