Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Ericsson Network Manager (ENM) (CVE-2021-32570)

Fecha de publicación:
26/08/2022
Idioma:
Español
En Ericsson Network Manager (ENM) versiones anteriores a 21.2, los usuarios que pertenecen al mismo grupo de autorización de AMOS pueden recuperar los datos de determinados archivos de registro. Todos los usuarios de AMOS son considerados usuarios altamente privilegiados en el sistema ENM y todos deben ser previamente definidos y autorizados por el Administrador de Seguridad. Estos usuarios pueden acceder a algunos archivos de registro, bajo una ruta común, y leer la información almacenada en los archivos de registro con el fin de conducir una escalada de privilegios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/09/2022

Vulnerabilidad en ClusterLabs Hawk (CVE-2021-3020)

Fecha de publicación:
26/08/2022
Idioma:
Español
Se ha detectado un problema en ClusterLabs Hawk (también se conoce como HA Web Konsole) hasta la versión 2.3.0-15. Es enviado el binario hawk_invoke (construido a partir de tools/hawk_invoke.c), destinado a ser usado como un programa setuid. Esto permite al usuario hacluster invocar determinados comandos como root (con un intento de limitar esto a combinaciones seguras). Este usuario es capaz de ejecutar un "shell" interactivo que no está limitado a los comandos especificados en hawk_invoke, permitiendo una escalada a root.
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en Lexmark (CVE-2022-29850)

Fecha de publicación:
26/08/2022
Idioma:
Español
Varios productos de Lexmark hasta el 2022-04-27 permiten a un atacante que ya ha comprometido un dispositivo Lexmark afectado mantener la persistencia a través de los reinicios
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en el agente de Rubrik Backup Service (RBS) para sistemas basados en Linux o Unix en Rubrik CDM (CVE-2022-30984)

Fecha de publicación:
26/08/2022
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en el agente de Rubrik Backup Service (RBS) para sistemas basados en Linux o Unix en Rubrik CDM versiones 7.0.1, 7.0.1-p1, 7.0.1-p2 o 7.0.1-p3 anteriores a CDM 7.0.2-p2, podría permitir a un atacante local obtener privilegios de root mediante el envío de un mensaje diseñado al agente RBS.
Gravedad CVSS v3.1: ALTA
Última modificación:
02/09/2022

Vulnerabilidad en Archer Platform (CVE-2022-37317)

Fecha de publicación:
25/08/2022
Idioma:
Español
Archer Platform versiones 6.x anteriores a 6.11 P3 contiene una vulnerabilidad de inyección de HTML. Un atacante remoto autenticado podría explotar potencialmente esta vulnerabilidad al engañar a un usuario de la aplicación víctima para ejecutar código malicioso en el contexto de la aplicación web. Las versiones 6.10 P4 (6.10.0.4) y 6.11 P2 HF4 (6.11.0.2.4) también están corregidas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/08/2022

Vulnerabilidad en Archer Platform (CVE-2022-37316)

Fecha de publicación:
25/08/2022
Idioma:
Español
Archer Platform versiones 6.8 anteriores a 6.11 P3 (6.11.0.3) contiene una vulnerabilidad de control de acceso a la API inapropiado en un sistema multi instancia que podría presentar metadatos no autorizados a un usuario autenticado del sistema afectado. 6.10 P3 HF1 (6.10.0.3.1) también es una versión corregida.
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/08/2022

Vulnerabilidad en Blue Prism Enterprise (CVE-2022-36117)

Fecha de publicación:
25/08/2022
Idioma:
Español
Se ha detectado un problema en Blue Prism Enterprise versiones 6.0 hasta 7.01. En un entorno configurado inapropiadamente que expone el servidor de aplicaciones de Blue Prism, es posible que un usuario autenticado realice ingeniería inversa del software de Blue Prism y omita los controles de acceso para una función administrativa. Si el acceso a las credenciales está configurado para que sea accesible por una máquina o el grupo de seguridad de recursos en tiempo de ejecución, mediante ingeniería inversa adicional, un atacante puede suplantar una máquina conocida y solicitar credenciales cifradas conocidas para descifrarlas posteriormente.
Gravedad CVSS v3.1: BAJA
Última modificación:
08/08/2023

Vulnerabilidad en Blue Prism Enterprise (CVE-2022-36118)

Fecha de publicación:
25/08/2022
Idioma:
Español
Se ha detectado un problema en Blue Prism Enterprise versiones 6.0 hasta 7.01. En un entorno configurado inapropiadamente que exponga el servidor de aplicaciones de Blue Prism, es posible que un usuario autenticado realice ingeniería inversa del software de Blue Prism y omita los controles de acceso para la función administrativa SetProcessAttributes. El abuso de esta función permitirá a cualquier usuario de Blue Prism publicar, despublicar o retirar procesos. Usando esta función, cualquier usuario conectado puede cambiar el estado de un proceso, una acción permitida sólo para usuarios con el permiso de Editar Proceso.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en Archer Platform (CVE-2022-37318)

Fecha de publicación:
25/08/2022
Idioma:
Español
Archer Platform versiones 6.9 SP2 P2 anteriores a 6.11 P3 (6.11.0.3) contiene una vulnerabilidad de tipo XSS reflejado. Un usuario remoto no autenticado de Archer podría explotar esta vulnerabilidad al engañar a un usuario de la aplicación víctima para que suministre código JavaScript malicioso a la aplicación web vulnerable. Este código es reflejado en la víctima y es ejecutado por el navegador web en el contexto de la aplicación web vulnerable. Las versiones 6.10 P4 (6.10.0.4) y 6.11 P2 HF4 (6.11.0.2.4) también son versiones corregidas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/08/2022

Vulnerabilidad en Blue Prism Enterprise (CVE-2022-36119)

Fecha de publicación:
25/08/2022
Idioma:
Español
Se ha detectado un problema en Blue Prism Enterprise versiones 6.0 hasta 7.01. En un entorno configurado inapropiadamente que expone el servidor de aplicaciones de Blue Prism, es posible que un usuario autenticado en el dominio envíe un mensaje diseñado al servidor de Blue Prism y realice un ataque de ejecución de código remota que es posible debido a una deserialización no segura. La explotación de esta vulnerabilidad permite una ejecución de código en el contexto del servicio Blue Prism Server.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/09/2022

Vulnerabilidad en GoSecure Titan Inbox Detection & Response (IDR) (CVE-2022-28747)

Fecha de publicación:
25/08/2022
Idioma:
Español
Un reúso de claves en GoSecure Titan Inbox Detection & Response (IDR) versiones hasta 05-04-2022, conlleva a una ejecución de código remota. Para aprovechar esta vulnerabilidad, un atacante debe diseñar y firmar una carga útil serializada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/09/2022

Vulnerabilidad en ReaderNo en los dispositivos Nortek Linear eMerge E3-Series (CVE-2022-31499)

Fecha de publicación:
25/08/2022
Idioma:
Español
Los dispositivos Nortek Linear eMerge E3-Series versiones anteriores a 0.32-08f, permiten a un atacante no autenticado inyectar comandos del sistema operativo por medio de ReaderNo. NOTA: este problema se presenta debido a una corrección incompleta de CVE-2019-7256.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/09/2022