Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Project Wonder WebObjects (CVE-2022-37724)
Fecha de publicación:
14/09/2022
Idioma:
Español
Project Wonder WebObjects versiones 1.0 hasta 5.4.3, es vulnerable a una inyección de encabezados HTTP arbitrarios y a una reflexión de tipo XSS basada en URL o encabezados en todas las interfaces de adaptadores de servidores web
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2022

Vulnerabilidad en la función cstesystem en el parámetro lang en TOTOLink A700RU (CVE-2022-38308)
Fecha de publicación:
14/09/2022
Idioma:
Español
Se ha detectado que TOTOLink A700RU versión V7.4cu.2313_B20191024, contiene una vulnerabilidad de inyección de comandos por medio del parámetro lang en la función cstesystem. Esta vulnerabilidad permite a atacantes ejecutar comandos arbitrarios por medio de una carga útil diseñada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en los dispositivos TPM virtualizados proxy en el kernel de Linux (CVE-2022-2977)
Fecha de publicación:
14/09/2022
Idioma:
Español
Se ha encontrado un fallo en la implementación del kernel de Linux de los dispositivos TPM virtualizados proxy. En un sistema donde los dispositivos TPM virtualizados están configurados (esto no es lo predeterminado) un atacante local puede crear un uso de memoria previamente liberada y crear una situación donde puede ser posible escalar privilegios en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
14/02/2023

Vulnerabilidad en Cosign (CVE-2022-36056)
Fecha de publicación:
14/09/2022
Idioma:
Español
Cosign es un proyecto bajo la organización sigstore que presenta como objetivo hacer que la infraestructura de las firmas sea invisible. En versiones anteriores a 1.12.0, han sido encontradas una serie de vulnerabilidades en cosign verify-blob, donde Cosign verificaba con éxito un artefacto cuando la verificación debería haber fallado. En primer lugar, puede diseñarse un paquete de Cosign para que verifique correctamente un blob aunque el rekorBundle insertado no haga referencia a la firma en cuestión. En segundo lugar, cuando son proporcionados indicadores de identidad, el correo electrónico y el emisor de un certificado no son comprobados cuando es verificado un paquete Rekor, y la identidad de las acciones de GitHub nunca es comprobada. En tercer lugar, si es proporcionada un paquete Rekor no válido sin el flag experimental, la verificación es realizada con éxito. Y en cuarto lugar, una entrada de registro de transparencia no válida resultará en un éxito inmediato de la verificación. Los detalles y ejemplos de estos problemas pueden verse en el aviso GHSA-8gw7-4j42-w388 enlazado. Es recomendado a usuarios actualizar a versión 1.12.0. No se presentan mitigaciones conocidas para estos problemas
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2022

Vulnerabilidad en el componente Mobile Adapter GB en Nintendo Game Boy Color (CVE-2022-3216)
Fecha de publicación:
14/09/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en Nintendo Game Boy Color y ha sido clasificada como problemática. Esta vulnerabilidad afecta a un código desconocido del componente Mobile Adapter GB. La manipulación conlleva a una corrupción de memoria. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede ser usada. VDB-208606 es el identificador asignado a esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
29/06/2023

Vulnerabilidad en Identificador no válido (CVE-2022-1835)
Fecha de publicación:
14/09/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2022. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en Identificador no válido (CVE-2022-1972)
Fecha de publicación:
14/09/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2022-2078. Reason: This candidate is a reservation duplicate of CVE-2022-2078. Notes: All CVE users should reference CVE-2022-2078 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en un paquete TCP IEC 104 en Hitachi Energy MicroSCADA X SYS600, MicroSCADA Pro SYS600 (CVE-2022-29492)
Fecha de publicación:
14/09/2022
Idioma:
Español
Una vulnerabilidad de comprobación de entrada inapropiada en el manejo de un paquete TCP IEC 104 malformado en Hitachi Energy MicroSCADA X SYS600, MicroSCADA Pro SYS600. Al recibir un paquete TCP IEC 104 malformado, el paquete malformado es descartado, pero la conexión TCP es dejada abierta. Esto puede causar una denegación de servicio si la conexión afectada es dejada abierta. Este problema afecta a: Hitachi Energy MicroSCADA Pro SYS600 versión 9.4 FP2 Hotfix 4 y versiones anteriores Hitachi Energy MicroSCADA X SYS600 versión 10 hasta 10.3.1. cpe:2.3:a:hitachienergy:microscada_pro_sys600:9.0:*:*:*:*:cpe:2. 3:a:hitachienergy:microscada_pro_sys600:9.1:*:*:*:*:*:cpe:2.3:a:hitachienergy:microscada_pro_sys600:9. 2:*:*:*:*:*:* cpe:2.3:a:hitachienergy:microscada_pro_sys600:9.3:*:*:*:*:*:cpe:2.3:a:hitachienergy:microscada_pro_sys600:9. 4:*:*:*:*:*:* cpe:2.3:a:hitachienergy:microscada_x_sys600:10:*:*:*:*:*:* cpe:2.3:a:hitachienergy:microscada_x_sys600:10. 1:*:*:*:*:*:*:* cpe:2.3:a:hitachienergy:microscada_x_sys600:10.1.1:*:*:*:*:*:*:* cpe:2. 3:a:hitachienergy:microscada_x_sys600:10.2:*:*:*:*:*:*:cpe:2.3:a:hitachienergy:microscada_x_sys600:10.2.1:*:*:*:*:*:*:cpe:2. 3:a:hitachienergy:microscada_x_sys600:10.3:*:*:*:*:*:cpe:2.3:a:hitachienergy:microscada_x_sys600:10.3.1:*:*:*:*:*:*:*:*
Gravedad CVSS v3.1: ALTA
Última modificación:
05/10/2022

Vulnerabilidad en un paquete IEC 61850 en el Servidor OPC IEC 61850 en Hitachi Energy MicroSCADA X SYS600, MicroSCADA Pro SYS600 (CVE-2022-29922)
Fecha de publicación:
14/09/2022
Idioma:
Español
Una vulnerabilidad de comprobación de entrada inapropiada en el manejo de un paquete IEC 61850 especialmente diseñado con un elemento de datos válido pero con un tipo de datos incorrecto en el Servidor OPC IEC 61850 en Hitachi Energy MicroSCADA X SYS600, MicroSCADA Pro SYS600. La vulnerabilidad puede causar una denegación de servicio en la parte del servidor OPC IEC 61850 del producto SYS600. Este problema afecta a: Hitachi Energy MicroSCADA Pro SYS600 versión 9.4 FP2 Hotfix 4 y versiones anteriores Hitachi Energy MicroSCADA X SYS600 versión 10 hasta 10.3.1. cpe:2.3:a:hitachienergy:microscada_pro_sys600:9.0:*:*:*:*:cpe:2. 3:a:hitachienergy:microscada_pro_sys600:9.1:*:*:*:*:*:cpe:2.3:a:hitachienergy:microscada_pro_sys600:9. 2:*:*:*:*:*:* cpe:2.3:a:hitachienergy:microscada_pro_sys600:9.3:*:*:*:*:*:cpe:2.3:a:hitachienergy:microscada_pro_sys600:9. 4:*:*:*:*:*:* cpe:2.3:a:hitachienergy:microscada_x_sys600:10:*:*:*:*:*:* cpe:2.3:a:hitachienergy:microscada_x_sys600:10. 1:*:*:*:*:*:*:* cpe:2.3:a:hitachienergy:microscada_x_sys600:10.1.1:*:*:*:*:*:*:* cpe:2. 3:a:hitachienergy:microscada_x_sys600:10.2:*:*:*:*:*:*:cpe:2.3:a:hitachienergy:microscada_x_sys600:10.2.1:*:*:*:*:*:*:cpe:2. 3:a:hitachienergy:microscada_x_sys600:10.3:*:*:*:*:*:cpe:2.3:a:hitachienergy:microscada_x_sys600:10.3.1:*:*:*:*:*:*:*:*
Gravedad CVSS v3.1: ALTA
Última modificación:
05/10/2022

Vulnerabilidad en la configuración de GLPI (CVE-2022-31143)
Fecha de publicación:
14/09/2022
Idioma:
Español
GLPI son las siglas de Gestionnaire Libre de Parc Informatique y es un Paquete de Software Libre de Administración de Activos y TI, que proporciona funciones de Service Desk de ITIL, seguimiento de licencias y auditoría de software. Se ha detectado que en las versiones afectadas es expuesta información privada definida en la configuración de GLPI (como smtp o cas hosts). Nótese que las contraseñas no están expuestas. Es recomendado a usuarios actualizar a versión 10.0.3. No se presentan mitigaciones conocidas para este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2022

Vulnerabilidad en las etiquetas HTML en GLPI (CVE-2022-31187)
Fecha de publicación:
14/09/2022
Idioma:
Español
GLPI son las siglas de Gestionnaire Libre de Parc Informatique y es un Paquete de Software Libre de Administración de Activos y TI, que proporciona funciones de Service Desk de ITIL, seguimiento de licencias y auditoría de software. Se ha detectado que las versiones afectadas no neutralizan correctamente las etiquetas HTML en el contexto de la búsqueda global. Es recomendado a usuarios actualizar a versión 10.0.3 para resolver este problema. Los usuarios que no puedan actualizarse deberán deshabilitar la búsqueda global
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2022

Vulnerabilidad en la página de configuración de la clave de registro en GLPI (CVE-2022-35945)
Fecha de publicación:
14/09/2022
Idioma:
Español
GLPI son las siglas de Gestionnaire Libre de Parc Informatique y es un Paquete de Software Libre de Administración de Activos y TI, que proporciona funciones de Service Desk de ITIL, seguimiento de licencias y auditoría de software. La información asociada a la clave de registro no es escapada apropiadamente en la página de configuración de la clave de registro. Pueden usarse para robar una cookie de administrador de GLPI. Es recomendado a usuarios actualizar a versión 10.0.3. No se presentan mitigaciones conocidas para este problema. ### No use una clave de registro creada por una persona que no sea confiable
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/09/2022
Suscribirse a Vulnerabilidades