Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el plugin Simple Single Sign On de WordPress (CVE-2022-2083)

Fecha de publicación:
05/09/2022
Idioma:
Español
El plugin Simple Single Sign On de WordPress versiones hasta 4.1.0, filtra su client_secret de OAuth, que podría ser usado por atacantes para conseguir acceso no autorizado al sitio
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el componente de procesamiento de mensajes de Bitdefender GravityZone Console (CVE-2022-2830)

Fecha de publicación:
05/09/2022
Idioma:
Español
Una vulnerabilidad de Deserialización de Datos No Confiables en el componente de procesamiento de mensajes de Bitdefender GravityZone Console permite a un atacante pasar comandos no seguros al entorno. Este problema afecta a: Bitdefender GravityZone Console On-Premise versiones anteriores a 6.29.2-1. Bitdefender GravityZone Cloud Console versiones anteriores a 6.27.2-2
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/09/2022

Vulnerabilidad en Apache IoTDB (CVE-2022-38369)

Fecha de publicación:
05/09/2022
Idioma:
Español
Apache IoTDB versión 0.13.0, es vulnerable a un ataque de identificación de sesión. Los usuarios deben actualizar a versión 0.13.1 que aborda este problema
Gravedad CVSS v3.1: ALTA
Última modificación:
09/09/2022

Vulnerabilidad en Apache IoTDB grafana-connector (CVE-2022-38370)

Fecha de publicación:
05/09/2022
Idioma:
Español
Apache IoTDB grafana-connector versión 0.13.0, contiene una interfaz sin autorización, que puede exponer la estructura interna de la base de datos. Los usuarios deben actualizar a versión 0.13.1, que aborda este problema
Gravedad CVSS v3.1: ALTA
Última modificación:
09/09/2022

Vulnerabilidad en el repositorio GitHub splitbrain/dokuwiki (CVE-2022-3123)

Fecha de publicación:
05/09/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Reflejado en el repositorio GitHub splitbrain/dokuwiki versiones anteriores a 2022-07-31a
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en snakeYAML (CVE-2022-38749)

Fecha de publicación:
05/09/2022
Idioma:
Español
El uso de snakeYAML para analizar archivos YAML no confiables puede ser vulnerable a ataques de Denegación de Servicio (DOS). Si el analizador es ejecutado en la entrada suministrada por el usuario, un atacante puede suministrar el contenido que hace que el analizador sea bloqueado por stackoverflow
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2024

Vulnerabilidad en snakeYAML (CVE-2022-38750)

Fecha de publicación:
05/09/2022
Idioma:
Español
El uso de snakeYAML para analizar archivos YAML no confiables puede ser vulnerable a ataques de Denegación de Servicio (DOS). Si el analizador es ejecutado en la entrada suministrada por el usuario, un atacante puede suministrar el contenido que hace que el analizador sea bloqueado por stackoverflow
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2024

Vulnerabilidad en snakeYAML (CVE-2022-38751)

Fecha de publicación:
05/09/2022
Idioma:
Español
El uso de snakeYAML para analizar archivos YAML no confiables puede ser vulnerable a ataques de Denegación de Servicio (DOS). Si el analizador es ejecutado en la entrada suministrada por el usuario, un atacante puede suministrar el contenido que hace que el analizador sea bloqueado por desbordamiento de pila
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2024

Vulnerabilidad en snakeYAML (CVE-2022-38752)

Fecha de publicación:
05/09/2022
Idioma:
Español
El uso de snakeYAML para analizar archivos YAML no confiables puede ser vulnerable a ataques de Denegación de Servicio (DOS). Si el analizador es ejecutado en la entrada suministrada por el usuario, un atacante puede suministrar contenido que hace que el analizador sea bloqueado por desbordamiento de pila
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2024

Vulnerabilidad en la biblioteca tinygltf (CVE-2022-3008)

Fecha de publicación:
05/09/2022
Idioma:
Español
La biblioteca tinygltf usa la función de la biblioteca C wordexp() para llevar a cabo una expansión de la ruta del archivo en rutas no confiables que son proporcionadas desde el archivo de entrada. Esta función permite una inyección de comandos mediante el uso de signos de retroceso. Un atacante podría diseñar una ruta de entrada no confiable que resultaría en una expansión de ruta. Recomendamos actualizar a versión 2.6.0 o al commit 52ff00a38447f06a17eab1caa2cf0730a119c751
Gravedad CVSS v3.1: ALTA
Última modificación:
01/10/2022

Vulnerabilidad en una hoja de cálculo en 123elf Lotus 1-2-3 para Linux, y Lotus 1-2-3 R3 para UNIX y otras plataformas (CVE-2022-39843)

Fecha de publicación:
05/09/2022
Idioma:
Español
123elf Lotus 1-2-3 versiones anteriores a 1.0.0rc3 para Linux, y Lotus 1-2-3 R3 para UNIX y otras plataformas hasta 9.8.2, permiten a atacantes ejecutar código arbitrario por medio de una hoja de cálculo diseñada. Esto ocurre debido a un desbordamiento del búfer en la región stack de la memoria en las rutinas de procesamiento del formato de celdas, como es demostrado en una determinada llamada a la función de process_fmt() que puede ser alcanzada por medio de un elemento w3r_format en un documento wk3
Gravedad CVSS v3.1: ALTA
Última modificación:
09/09/2022

Vulnerabilidad en el archivo index.php del componente Login en SourceCodester Clinics Patient Management System (CVE-2022-3120)

Fecha de publicación:
05/09/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Clinics Patient Management System. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo index.php del componente Login. La manipulación del argumento user_name conlleva a una inyección sql. El ataque puede ser lanzado remotamente. La explotación ha sido divulgada al público y puede ser usada. El identificador asociado a esta vulnerabilidad es VDB-207847
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/09/2024