Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el servidor ZLMediaKit (CVE-2022-37237)
Fecha de publicación:
30/08/2022
Idioma:
Español
Un atacante puede enviar peticiones RTMP maliciosas para hacer que el servidor ZLMediaKit sea bloqueado de forma remota. La versión afectada es anterior al commit 7d8b212a3c3368bc2f6507cb74664fc419eb9327
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2023

Vulnerabilidad en una petición GET en el componente /cgi-bin/DownloadFlash en Tenda AC6(AC1200) (CVE-2022-36552)
Fecha de publicación:
30/08/2022
Idioma:
Español
Tenda AC6(AC1200) versión v5.0 Firmware v02.03.01.114 y anteriores, contiene un problema en el componente /cgi-bin/DownloadFlash que permite a atacantes robar todos los datos, como el código fuente y los archivos del sistema, por medio de una petición GET diseñada
Gravedad CVSS v3.1: ALTA
Última modificación:
14/02/2024

Vulnerabilidad en el parámetro username en el archivo adm.cgi en WAVLINK WL-WN575A3 (CVE-2022-37149)
Fecha de publicación:
30/08/2022
Idioma:
Español
Se ha detectado que WAVLINK WL-WN575A3 versión RPT75A3.V4300.201217, contiene una vulnerabilidad de inyección de comandos cuando opera el archivo adm.cgi. Esta vulnerabilidad permite a atacantes ejecutar comandos arbitrarios por medio del parámetro username
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

CVE-2022-3063
Fecha de publicación:
30/08/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. Reason: This CVE has been rejected as it was incorrectly assigned. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2022-3022
Fecha de publicación:
30/08/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. Reason: This CVE has been rejected as it was incorrectly assigned. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en DLP Endpoint para Windows (CVE-2022-2330)
Fecha de publicación:
30/08/2022
Idioma:
Español
La vulnerabilidad de restricción inadecuada de la referencia a entidades externas XML en DLP Endpoint para Windows anterior a la versión 11.9.100 permite a un atacante remoto hacer que el agente DLP acceda a un servicio local al que el atacante no tendría normalmente acceso a través de un archivo XML cuidadosamente construido, que el agente DLP no analiza correctamente
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/11/2023

Vulnerabilidad en la función res_pjsip_t38 en Sangoma Asterisk y Certified Asterisk (CVE-2021-46837)
Fecha de publicación:
30/08/2022
Idioma:
Español
La función res_pjsip_t38 en Sangoma Asterisk versiones 16.x anteriores a 16.16.2, 17.x anteriores a 17.9.3, y 18.x anteriores a 18.2.2, y Certified Asterisk anteriores a 16.8-cert7, permite a un atacante desencadenar un fallo mediante el envío de una línea m=image y un puerto cero en una respuesta a una Re invitación T.38 iniciada por Asterisk. Se trata de una reaparición de los síntomas de la CVE-2019-15297 pero no exactamente por el mismo motivo. El fallo es producido porque se presenta una operación de append relativa a la topología activa, pero debería ser en cambio una operación de replace
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2023

Vulnerabilidad en 0xff 0xf7 o 0xff 0xf8 en telnetd en GNU Inetutils, MIT krb5-appl (CVE-2022-39028)
Fecha de publicación:
30/08/2022
Idioma:
Español
telnetd en GNU Inetutils versiones hasta 2.3, MIT krb5-appl versiones hasta 1.0.3, y trabajos derivados presenta una desreferencia de puntero NULL por medio de 0xff 0xf7 o 0xff 0xf8. En una instalación típica, la aplicación telnetd sería bloqueada pero el servicio telnet seguiría estando disponible mediante inetd. Sin embargo, si la aplicación telnetd presenta muchos bloqueos en un intervalo de tiempo corto, el servicio telnet dejará de estar disponible después de que inetd registre un error "telnet/tcp server failing (looping), service terminated". NOTA: MIT krb5-appl no está soportado por la corriente principal, pero está incluido en algunas distribuciones de Linux. El código afectado fue retirado del producto MIT Kerberos 5 (aka krb5) soportado hace muchos años, en versión 1.8
Gravedad CVSS v3.1: ALTA
Última modificación:
27/09/2023

Vulnerabilidad en la Sala de Reuniones del Portal OAKlouds (CVE-2022-38118)
Fecha de publicación:
30/08/2022
Idioma:
Español
La Sala de Reuniones del Portal OAKlouds presenta una comprobación insuficiente para la entrada de usuarios. Un atacante remoto con privilegio de usuario general puede llevar a cabo una inyección SQL para acceder, modificar, eliminar la base de datos, llevar a cabo operaciones del sistema e interrumpir el servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
01/10/2022

Vulnerabilidad en el paquete org.yaml:snakeyaml (CVE-2022-25857)
Fecha de publicación:
30/08/2022
Idioma:
Español
El paquete org.yaml:snakeyaml versiones desde 0 y anteriores a 1.31, son vulnerables a una Denegación de Servicio (DoS) debido a una falta de limitación de profundidad anidada para las colecciones
Gravedad CVSS v3.1: ALTA
Última modificación:
15/03/2024

Vulnerabilidad en el paquete sanitize-html (CVE-2022-25887)
Fecha de publicación:
30/08/2022
Idioma:
Español
El paquete sanitize-html versiones anteriores a 2.7.1, es vulnerable a una Denegación de Servicio por Expresión Regular (ReDoS) debido a una inseguridad de la lógica de reemplazo global de expresiones regulares en la eliminación de comentarios HTML
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en el paquete x-data-spreadsheet (CVE-2022-25646)
Fecha de publicación:
30/08/2022
Idioma:
Español
Todas las versiones del paquete x-data-spreadsheet son vulnerables a un ataque de tipo Cross-site Scripting (XSS) debido a una falta de saneo de los valores insertados en las celdas
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/09/2022
Suscribirse a Vulnerabilidades