Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Xenstore (CVE-2022-42326)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden crear una cantidad arbitraria de nodos mediante transacciones. Este registro de información CNA se relaciona con múltiples CVE; el texto explica qué aspectos/vulnerabilidades corresponden a qué CVE.] En caso de que se haya creado un nodo en una transacción y luego se elimine en la misma transacción, la transacción finalizará con un error. Como este error se encuentra solo al manejar el nodo eliminado al finalizar la transacción, la transacción se habrá realizado parcialmente y sin actualizar la información contable. Esto permitirá que un invitado malintencionado cree una cantidad arbitraria de nodos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025

Vulnerabilidad en Intel (CVE-2022-42327)
Fecha de publicación:
01/11/2022
Idioma:
Español
x86: intercambio de memoria no deseado entre invitados En los sistemas Intel que admiten la función "virtualizar accesos APIC", un invitado puede leer y escribir la página xAPIC compartida global sacando el APIC local del modo xAPIC. El acceso a esta página compartida evita el aislamiento esperado que debería existir entre dos invitados.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/05/2025

Vulnerabilidad en Xenstore (CVE-2022-42322)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados que cooperan pueden crear números arbitrarios de nodos. Este registro de información CNA se relaciona con múltiples CVE; el texto explica qué aspectos/vulnerabilidades corresponden a cada CVE.] Desde la corrección de XSA-322, cualquier nodo Xenstore propiedad de un dominio eliminado se modificará para que sea propiedad de Dom0. Esto permitirá que dos invitados maliciosos trabajen juntos para crear una cantidad arbitraria de nodos Xenstore. Esto es posible si el dominio A permite que el dominio B escriba en el árbol Xenstore local del dominio A. Luego, el dominio B puede crear muchos nodos y reiniciarse. Los nodos creados por el dominio B ahora serán propiedad de Dom0. Al repetir este proceso una y otra vez, se puede crear una cantidad arbitraria de nodos, ya que la cantidad de nodos de Dom0 no está limitada por la cuota de Xenstore.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42323)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados que cooperan pueden crear números arbitrarios de nodos. Este registro de información CNA se relaciona con múltiples CVE; el texto explica qué aspectos/vulnerabilidades corresponden a cada CVE.] Desde la corrección de XSA-322, cualquier nodo Xenstore propiedad de un dominio eliminado se modificará para que sea propiedad de Dom0. Esto permitirá que dos invitados maliciosos trabajen juntos para crear una cantidad arbitraria de nodos Xenstore. Esto es posible si el dominio A permite que el dominio B escriba en el árbol Xenstore local del dominio A. Luego, el dominio B puede crear muchos nodos y reiniciarse. Los nodos creados por el dominio B ahora serán propiedad de Dom0. Al repetir este proceso una y otra vez, se puede crear una cantidad arbitraria de nodos, ya que la cantidad de nodos de Dom0 no está limitada por la cuota de Xenstore.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42321)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden bloquear xenstored al agotar la pila. Xenstored utiliza la recursividad para algunas operaciones de Xenstore (por ejemplo, para eliminar un subárbol de nodos de Xenstore). Con niveles de anidamiento suficientemente profundos, esto puede provocar el agotamiento de la pila en xenstored, lo que provocará un fallo de xenstored.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42309)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: Los invitados pueden bloquear xenstored Debido a un error en la solución de XSA-115, un invitado malintencionado puede hacer que xenstored use un puntero incorrecto durante la creación del nodo en una ruta de error, lo que resulta en una falla de xenstored o una corrupción de la memoria en xenstored, lo que provoca más daño. El invitado puede controlar el ingreso de la ruta de error, por ejemplo, excediendo el valor de cuota de nodos máximos por dominio.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42320)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden obtener acceso a los nodos de Xenstore de los dominios eliminados. Los derechos de acceso de los nodos de Xenstore son por domid. Cuando un dominio desaparece, es posible que queden nodos de Xenstore con derechos de acceso que contengan el dominio del dominio eliminado. Normalmente, esto no supone ningún problema, ya que esas entradas de derechos de acceso se corregirán cuando dicho nodo se escriba más adelante. Hay una pequeña ventana de tiempo cuando se crea un nuevo dominio, donde los derechos de acceso de un dominio anterior con el mismo dominio que el nuevo se considerarán todavía válidos, lo que permitirá que el nuevo dominio pueda obtener acceso a un nodo. que estaba destinado a ser accesible por el dominio eliminado. Para que esto suceda, otro dominio debe escribir el nodo antes de que dom0 introduzca el dominio recién creado en Xenstore.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42319)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: Los invitados pueden hacer que Xenstore no libere memoria temporal Cuando trabaja en una solicitud de un invitado, es posible que xenstored necesite asignar cantidades bastante grandes de memoria temporalmente. Esta memoria se libera sólo después de que la solicitud haya finalizado por completo. Una solicitud se considera finalizada sólo después de que el huésped haya leído el mensaje de respuesta de la solicitud desde la página de timbre. Por lo tanto, un invitado que no lea la respuesta puede hacer que xenstored no libere la memoria temporal. Esto puede provocar escasez de memoria y provocar Denegación de Servicio (DoS) de xenstored.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42310)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden crear nodos huérfanos de Xenstore al crear varios nodos dentro de una transacción que genera un error, un invitado malintencionado puede crear nodos huérfanos en la base de datos de Xenstore, ya que la limpieza después del error no eliminará todos los nodos ya creados. Cuando la transacción se confirma después de esta situación, los nodos sin un padre válido pueden hacerse permanentes en la base de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2024

Vulnerabilidad en Xenstore (CVE-2022-42318)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden dejar ejecutar xenstored sin memoria. Este registro de información CNA se relaciona con múltiples CVE; el texto explica qué aspectos/vulnerabilidades corresponden a cada CVE.] Los invitados maliciosos pueden hacer que xenstored asigne grandes cantidades de memoria, lo que eventualmente resultará en una Denegación de Servicio (DoS) de xenstored. Hay varias maneras en que los invitados pueden provocar grandes asignaciones de memoria en xenstored: - - emitiendo nuevas solicitudes a xenstored sin leer las respuestas, lo que hace que las respuestas se almacenen en la memoria - - provocando que se genere una gran cantidad de eventos de observación mediante la configuración múltiples vigilancias de xenstore y luego, por ejemplo, eliminar muchos nodos de xenstore debajo de la ruta vigilada - - creando tantos nodos como se permita con el tamaño y la longitud de ruta máximos permitidos en tantas transacciones como sea posible - - accediendo a muchos nodos dentro de una transacción
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025

Vulnerabilidad en Xenstore (CVE-2022-42316)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden dejar ejecutar xenstored sin memoria. Este registro de información CNA se relaciona con múltiples CVE; el texto explica qué aspectos/vulnerabilidades corresponden a cada CVE.] Los invitados maliciosos pueden hacer que xenstored asigne grandes cantidades de memoria, lo que eventualmente resultará en una Denegación de Servicio (DoS) de xenstored. Hay varias maneras en que los invitados pueden provocar grandes asignaciones de memoria en xenstored: - - emitiendo nuevas solicitudes a xenstored sin leer las respuestas, lo que hace que las respuestas se almacenen en la memoria - - provocando que se genere una gran cantidad de eventos de observación mediante la configuración múltiples vigilancias de xenstore y luego, por ejemplo, eliminar muchos nodos de xenstore debajo de la ruta vigilada - - creando tantos nodos como se permita con el tamaño y la longitud de ruta máximos permitidos en tantas transacciones como sea posible - - accediendo a muchos nodos dentro de una transacción
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025

Vulnerabilidad en Xenstore (CVE-2022-42317)
Fecha de publicación:
01/11/2022
Idioma:
Español
Xenstore: los invitados pueden dejar ejecutar xenstored sin memoria. Este registro de información CNA se relaciona con múltiples CVE; el texto explica qué aspectos/vulnerabilidades corresponden a cada CVE.] Los invitados maliciosos pueden hacer que xenstored asigne grandes cantidades de memoria, lo que eventualmente resultará en una Denegación de Servicio (DoS) de xenstored. Hay varias maneras en que los invitados pueden provocar grandes asignaciones de memoria en xenstored: - - emitiendo nuevas solicitudes a xenstored sin leer las respuestas, lo que hace que las respuestas se almacenen en la memoria - - provocando que se genere una gran cantidad de eventos de observación mediante la configuración múltiples vigilancias de xenstore y luego, por ejemplo, eliminar muchos nodos de xenstore debajo de la ruta vigilada - - creando tantos nodos como se permita con el tamaño y la longitud de ruta máximos permitidos en tantas transacciones como sea posible - - accediendo a muchos nodos dentro de una transacción
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/05/2025
Suscribirse a Vulnerabilidades