Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un archivo .scad en Openscad (CVE-2022-0497)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en Openscad, donde un archivo .scad sin una nueva línea final podría causar una lectura fuera de límites durante el análisis de las anotaciones
Gravedad CVSS v3.1: ALTA
Última modificación:
01/09/2022

Vulnerabilidad en dpdk (CVE-2022-0669)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo en dpdk. Este fallo permite a un vhost-user master malicioso adjuntar un número inesperado de fds como datos auxiliares a los mensajes VHOST_USER_GET_INFLIGHT_FD / VHOST_USER_SET_INFLIGHT_FD que no son cerrados por el vhost-user slave. Al enviar dichos mensajes continuamente, el maestro vhost-user agota los fd disponibles en el proceso esclavo vhost-user, conllevando a una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/09/2022

Vulnerabilidad en la herramienta de copia "nbdcopy" de libnbd (CVE-2022-0485)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo en la herramienta de copia "nbdcopy" de libnbd. Cuando eran llevado a cabo copias multihilo usando llamadas asíncronas a nbd, nbdcopy trataba ciegamente la finalización de un comando asíncrono como exitosa, en lugar de comprobar el parámetro *error. Esto podía resultar en la creación silenciosa de una imagen de destino corrupta
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2022

Vulnerabilidad en el demonio del sistema de archivos compartidos de QEMU virtio-fs (virtiofsd) (CVE-2022-0358)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo en la implementación del demonio del sistema de archivos compartidos de QEMU virtio-fs (virtiofsd). Este fallo está estrictamente relacionado con CVE-2018-13405. Un usuario invitado local puede crear archivos en los directorios compartidos por virtio-fs con propiedad de grupo no intencionada en un escenario en el que un directorio es SGID a un determinado grupo y es escribible por un usuario que no es miembro del grupo. Esto podría permitir a un usuario malicioso no privilegiado dentro del huésped conseguir acceso a recursos accesibles al grupo root, escalando potencialmente sus privilegios dentro del huésped. Un usuario local malicioso en el huésped también podría aprovechar este archivo ejecutable no esperado creado por el huésped para escalar sus privilegios en el sistema huésped
Gravedad CVSS v3.1: ALTA
Última modificación:
09/12/2022

CVE-2022-0644

Fecha de publicación:
29/08/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el archivo fs/locks.c en la función filelock_init del kernel de Linux (CVE-2022-0480)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo en la función filelock_init en el archivo fs/locks.c del kernel de Linux. Este problema puede conllevar a un agotamiento de la memoria del host debido a que memcg no limita el número de bloqueos de archivos de la Interfaz del Sistema Operativo Portátil (POSIX)
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/03/2023

Vulnerabilidad en el archivo src/modbus.c en la función modbus_reply() (CVE-2022-0367)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se encontró un fallo de desbordamiento de búfer en la región heap de la memoria en la función modbus_reply() en el archivo src/modbus.c
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en el archivo net/sunrpc/xprtrdma/rpc_rdma.c en el Kernel de Linux (CVE-2022-0812)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo de filtrado de información en NFS sobre RDMA en el archivo net/sunrpc/xprtrdma/rpc_rdma.c en el Kernel de Linux. Este fallo permite a un atacante privilegiado de usuario normales filtrar información del kernel
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2023

Vulnerabilidad en el DC de Samba AD (CVE-2022-0336)

Fecha de publicación:
29/08/2022
Idioma:
Español
El DC de Samba AD incluye comprobaciones cuando son añadidos nombres de directores de servicio (SPN) a una cuenta para asegurar que los SPN no presentan alias con los que ya están en la base de datos. Algunas de estas comprobaciones pueden omitirse si una modificación de la cuenta vuelve a añadir un SPN que ya estaba presente en esa cuenta, como uno añadido cuando un equipo es unido a un dominio. Un atacante que tenga la capacidad de escribir en una cuenta puede aprovechar esto para llevar a cabo un ataque de denegación de servicio al añadir un SPN que coincida con un servicio existente. Además, un atacante que pueda interceptar el tráfico puede hacerse pasar por los servicios existentes, resultando en una pérdida de confidencialidad e integridad
Gravedad CVSS v3.1: ALTA
Última modificación:
17/09/2023

Vulnerabilidad en python-oslo-utils (CVE-2022-0718)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha encontrado un fallo en python-oslo-utils. Debido a un análisis inapropiado, las contraseñas con comillas dobles ( " ) causan un enmascaramiento incorrecto en los registros de depuración, causando que cualquier parte de la contraseña después de las comillas dobles sea texto plano
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2023

Vulnerabilidad en la función ext4_extent_header en el kernel de linux (CVE-2022-0850)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se encontró una vulnerabilidad en el kernel de linux, donde es producido un filtrado de información por medio de la función ext4_extent_header al espacio de usuario
Gravedad CVSS v3.1: ALTA
Última modificación:
05/10/2023

Vulnerabilidad en el parámetro month en /admin/?page=reports/stockout&month= en Ingredients Stock Management System (CVE-2022-36688)

Fecha de publicación:
29/08/2022
Idioma:
Español
Se ha detectado que Ingredients Stock Management System v1.0 contenía una vulnerabilidad de inyección SQL por medio del parámetro month en /admin/?page=reports/stockout&month=
Gravedad CVSS v3.1: ALTA
Última modificación:
01/09/2022