Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la utilidad zgrep de GNU gzip (CVE-2022-1271)
Fecha de publicación:
31/08/2022
Idioma:
Español
Se encontró una vulnerabilidad de escritura arbitraria de archivos en la utilidad zgrep de GNU gzip. Cuando zgrep es aplicado sobre el nombre de archivo elegido por el atacante (por ejemplo, un nombre de archivo diseñado), éste puede sobrescribir el contenido de un archivo arbitrario seleccionado por el atacante. Este fallo es producido debido a una comprobación insuficiente cuando son procesados nombres de archivo con dos o más líneas nuevas en los que el contenido seleccionado y los nombres de archivo de destino están insertados en nombres de archivo multilínea diseñados. Este fallo permite a un atacante remoto poco privilegiado forzar a zgrep a escribir archivos arbitrarios en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
05/05/2025

Vulnerabilidad en un archivo de entrada en la función match_reload en el archivo lra-constraints.c en gcc (CVE-2020-35536)
Fecha de publicación:
31/08/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el archivo gcc/ipa-cp.c en la función ipcp_store_vr_results en gcc (CVE-2020-35537)
Fecha de publicación:
31/08/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en Flux (CVE-2022-36035)
Fecha de publicación:
31/08/2022
Idioma:
Español
Flux es una herramienta para mantener los clusters Kubernetes sincronizados con las fuentes de configuración (como los repositorios Git), y para automatizar las actualizaciones de la configuración cuando se presenta nuevo código que desplegar. Flux CLI permite a usuarios desplegar componentes de Flux en un clúster de Kubernetes por medio de la línea de comandos. La vulnerabilidad permite que otras aplicaciones sustituyan la información de despliegue de Flux por contenido arbitrario que es desplegado en el clúster Kubernetes de destino. La vulnerabilidad es debido a un manejo inapropiado de la entrada suministrada por el usuario, lo que resulta en un recorrido de ruta que puede ser controlado por el atacante. Los usuarios que compartan el mismo shell entre otras aplicaciones y los comandos CLI de Flux podrían verse afectados por esta vulnerabilidad. En algunos escenarios no presentan errores, lo que puede causar que usuarios finales no den cuenta de que algo anda mal. Una mitigación segura es ejecutar Flux CLI en entornos de shell efímeros y aislados, lo que puede garantizar que no existan valores persistentes de procesos anteriores. Sin embargo, la actualización a la última versión de la CLI sigue siendo la estrategia de mitigación recomendada
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2022

Vulnerabilidad en el software de foros NodeBB (CVE-2022-36045)
Fecha de publicación:
31/08/2022
Idioma:
Español
El software de foros NodeBB está impulsado por Node.js y es compatible con Redis, MongoDB o una base de datos PostgreSQL. Utiliza web sockets para interacciones instantáneas y notificaciones en tiempo real. `utils.generateUUID`, una función de ayuda disponible en prácticamente todas las versiones de NodeBB (desde la v1.0.1 y potencialmente antes) utilizaba un generador de números pseudoaleatorios criptográficamente inseguro (`Math.random()`), lo que significaba que un script especialmente diseñado combinado con múltiples invocaciones de la funcionalidad de restablecimiento de contraseña podía permitir a un atacante calcular correctamente el código de restablecimiento para una cuenta a la que no tuviera acceso. Esta vulnerabilidad afecta a todas las instalaciones de NodeBB. La vulnerabilidad permite a un atacante tomar el control de cualquier cuenta sin la participación de la víctima, y como tal, la remediación debe ser aplicada inmediatamente (ya sea a través de la actualización de NodeBB o cherry-pick del conjunto de cambios específicos. La vulnerabilidad ha sido parcheada en las versiones 2.x y 1.19.x. No hay una solución conocida, pero los conjuntos de parches listados arriba parcharán completamente la vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/09/2022

Vulnerabilidad en Joomla! (CVE-2022-27911)
Fecha de publicación:
31/08/2022
Idioma:
Español
Se ha detectado un problema en Joomla! Versión 4.2.0. Múltiples Divulgaciones de la Trayectoria Completa por Falta de "_JEXEC or die check" causados por los cambios del PSR12
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/09/2022

Vulnerabilidad en Apache Geode (CVE-2022-37023)
Fecha de publicación:
31/08/2022
Idioma:
Español
Apache Geode versiones anteriores a 1.15.0, son vulnerables a un fallo de deserialización de datos no confiables cuando es usada la API REST en Java versión 8 o Java versión 11. Cualquier usuario que desee protegerse contra los ataques de deserialización que implican las APIs REST debe actualizar a Apache Geode versión 1.15 y seguir la documentación para detalles sobre la habilitación de "validate-serializable-objects=true" y especificar cualquier clase de usuario que pueda ser serializada/de serializada con "serializable-object-filter". Activar "validate-serializable-objects" puede afectar al rendimiento
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/09/2022

Vulnerabilidad en Apache Geode (CVE-2022-37022)
Fecha de publicación:
31/08/2022
Idioma:
Español
Apache Geode versiones hasta 1.12.2 y 1.13.2, son vulnerables a un fallo de deserialización de datos no confiables cuando es usado JMX sobre RMI en Java versión 11. Cualquier usuario que desee protegerse contra los ataques de deserialización que implican JMX o RMI debe actualizar a Apache Geode versión 1.15. El uso de la versión 1.15 en Java 11 protegerá automáticamente a JMX sobre RMI contra los ataques de deserialización. Esto no debería tener ningún impacto en el rendimiento ya que sólo afecta a JMX/RMI que Gfsh usa para comunicarse con el Administrador JMX que está alojado en un Localizador
Gravedad CVSS v3.1: ALTA
Última modificación:
06/09/2022

Vulnerabilidad en Apache Geode (CVE-2022-37021)
Fecha de publicación:
31/08/2022
Idioma:
Español
Apache Geode versiones hasta 1.12.5, 1.13.4 y 1.14.0, son vulnerables a un fallo de deserialización de datos no confiables cuando es usado JMX sobre RMI en Java 8. Cualquier usuario que todavía esté en Java 8 y desee protegerse contra los ataques de deserialización que involucran a JMX o RMI debe actualizar a Apache Geode versión 1.15 y Java versión 11. Si la actualización a Java versión 11 no es posible, entonces actualice a Apache Geode versión 1.15 y especifique "--J=-Dgeode.enableGlobalSerialFilter=true" cuando inicie cualquier Localizador o Servidor. Siga la documentación para detalles sobre la especificación de cualquier clase de usuario que pueda ser serializada/de serializada con la opción de configuración "serializable-object-filter". El uso de un filtro global de serialización afectará al rendimiento
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/09/2022

Vulnerabilidad en la utilidad Modpack Installer en Freeciv (CVE-2022-39047)
Fecha de publicación:
31/08/2022
Idioma:
Español
Freeciv versiones anteriores a 2.6.7 y anteriores a 3.0.3, es propenso a una vulnerabilidad de desbordamiento de búfer en el manejo de la URL del modpack por parte de la utilidad Modpack Installer
Gravedad CVSS v3.1: ALTA
Última modificación:
05/09/2022

Vulnerabilidad en la biblioteca GNU C (glibc) (CVE-2022-39046)
Fecha de publicación:
31/08/2022
Idioma:
Español
Se ha detectado un problema en la biblioteca GNU C (glibc) versión 2.36. Cuando a la función syslog le es pasada una cadena de entrada diseñada de más de 1024 bytes, lee memoria no inicializada de la pila y la imprime en el archivo de registro de destino, revelando potencialmente una parte del contenido de la pila
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2024

Vulnerabilidad en la función uploadchannel() en Razor (CVE-2022-36747)
Fecha de publicación:
30/08/2022
Idioma:
Español
Se ha detectado que Razor versión v0.8.0, contiene una vulnerabilidad de tipo cross-site scripting (XSS) por medio de la función uploadchannel()
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2022
Suscribirse a Vulnerabilidades