Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una petición de formulario POST en HCL iNotes (CVE-2022-27546)

Fecha de publicación:
29/08/2022
Idioma:
Español
HCL iNotes es susceptible de sufrir una vulnerabilidad de tipo Cross-site Scripting (XSS) Reflejado causada por una comprobación inapropiada de la entrada suministrada por el usuario con una petición de formulario POST. Un atacante remoto podría aprovechar esta vulnerabilidad usando una URL especialmente diseñada para ejecutar un script en el navegador web de la víctima dentro del contexto de seguridad del sitio web anfitrión y/o robar las credenciales de autenticación basadas en cookies de la víctima
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/09/2022

Vulnerabilidad en HCL iNotes (CVE-2022-27547)

Fecha de publicación:
29/08/2022
Idioma:
Español
HCL iNotes es susceptible de una vulnerabilidad de enlace a un dominio no existente. Un atacante podría usar esta vulnerabilidad para engañar a un usuario para que proporcione información confidencial como el nombre de usuario, la contraseña, el número de tarjeta de crédito, etc
Gravedad CVSS v3.1: ALTA
Última modificación:
01/09/2022

Vulnerabilidad en las políticas de contraseñas personalizadas en HCL iNotes (CVE-2022-27558)

Fecha de publicación:
29/08/2022
Idioma:
Español
HCL iNotes es susceptible de sufrir una vulnerabilidad de comprobación de solidez de la contraseña. Las políticas de contraseñas personalizadas no son aplican en determinados formularios de iNotes, lo que podría permitir a usuarios establecer contraseñas débiles, conllevando a una mayor facilidad de cracking
Gravedad CVSS v3.1: ALTA
Última modificación:
01/09/2022

Vulnerabilidad en el módem VDSL2 HG150 de FiberHome (CVE-2022-36200)

Fecha de publicación:
29/08/2022
Idioma:
Español
En el módem VDSL2 HG150 versión Ub_V3.0 de FiberHome, las credenciales del administrador son presentadas en la URL, que puede ser registrada/observada
Gravedad CVSS v3.1: ALTA
Última modificación:
02/09/2022

Vulnerabilidad en convert2rhel (CVE-2022-0852)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se presentan un fallo en convert2rhel. convert2rhel pasa la contraseña de la cuenta de Red Hat a subscription-manager por medio de la línea de comandos, lo que podría permitir a usuarios no autorizados localmente en la máquina visualizar la contraseña por medio de la línea de comandos del proceso, por ejemplo, htop o ps. El impacto específico varía según los privilegios de la cuenta de Red Hat en cuestión, pero podría afectar la integridad, disponibilidad y/o confidencialidad de los datos de otros sistemas que son administrados por esa cuenta. Esto ocurre independientemente de cómo se suministre la contraseña a convert2rhel
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2023

Vulnerabilidad en fapolicyd (CVE-2022-1117)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en fapolicyd. La vulnerabilidad se produce debido a una suposición sobre cómo glibc nombra al enlazador en tiempo de ejecución, una expresión regular en tiempo de compilación puede no detectar correctamente el enlazador en tiempo de ejecución. La consecuencia es que la detección de patrones para las aplicaciones lanzadas por el enlazador en tiempo de ejecución puede fallar al detectar el patrón y permitir la ejecución
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2023

Vulnerabilidad en el archivo fs/ext4/namei.c:dx_insert_block() en el subcomponente del sistema de archivos del kernel de Linux (CVE-2022-1184)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha detectado un fallo de uso de memoria previamente liberada en el archivo fs/ext4/namei.c:dx_insert_block() en el subcomponente del sistema de archivos del kernel de Linux. Este fallo permite a un atacante local con privilegios de usuario causar una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2023

Vulnerabilidad en un archivo tiff en extractImageSection en el archivo tools/tiffcrop.c:6905 en LibTIFF (CVE-2022-2953)

Fecha de publicación:
29/08/2022
Idioma:
Español
LibTIFF versión 4.4.0, presenta una lectura fuera de límites en extractImageSection en el archivo tools/tiffcrop.c:6905, lo que permite a atacantes causar una denegación de servicio por medio de un archivo tiff diseñado. Para usuarios que compilan libtiff desde las fuentes, la corrección está disponible con el commit 48d6ece8
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2023

Vulnerabilidad en el kernel de Linux (CVE-2022-1199)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo en el kernel de Linux. Este fallo permite a un atacante bloquear el kernel de Linux al simular la radioafición desde el espacio de usuario, resultando en una vulnerabilidad null-ptr-deref y una vulnerabilidad de uso de memoria previamente liberada
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en la implementación io_uring del kernel de Linux (CVE-2022-1043)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo en la implementación io_uring del kernel de Linux. Este fallo permite a un atacante con una cuenta local corromper la memoria del sistema, bloquear el sistema o escalar privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
02/02/2023

Vulnerabilidad en el archivo quantum-private.h en la función PushShortPixel() de ImageMagick (CVE-2022-1115)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo de desbordamiento del búfer de la pila en la función PushShortPixel() de ImageMagick del archivo quantum-private.h. Esta vulnerabilidad es desencadenada cuando un atacante pasa un archivo de imagen TIFF especialmente diseñado a ImageMagick para su conversión, lo que puede conllevar a una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2022

Vulnerabilidad en el archivo drivers/net/hamradio/6pack.c de linux (CVE-2022-1198)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de uso de memoria previamente liberada en el archivo drivers/net/hamradio/6pack.c de linux que permite a un atacante bloquear el kernel de linux al simular el dispositivo ax25 mediante el controlador 6pack desde el espacio de usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2022