Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el repositorio de GitHub phpfusion/phpfusion (CVE-2022-3152)

Fecha de publicación:
07/09/2022
Idioma:
Español
Un Cambio de Contraseña no Verificado en el repositorio de GitHub phpfusion/phpfusion versiones anteriores a 9.10.20
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2022

Vulnerabilidad en la página PHP en ftcms (CVE-2022-37730)

Fecha de publicación:
07/09/2022
Idioma:
Español
En ftcms versión 2.1, se presenta una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en la página PHP, que causa que el atacante falsifique un enlace para engañarle y haga clic en un enlace malicioso o visite una página que contenga código de ataque, y envíe una petición al servidor (correspondiente a la información de autenticación de identidad) como la víctima sin que ésta lo sepa
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2022

Vulnerabilidad en el archivo poster.PHP en ftcms (CVE-2022-37731)

Fecha de publicación:
07/09/2022
Idioma:
Español
ftcms versión 2.1 el archivo poster.PHP presenta una vulnerabilidad de tipo XSS. El atacante inserta código JavaScript malicioso en la página web, causando a el usuario/administrador desencadenar código malicioso cuando accede
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/09/2022

Vulnerabilidad en el archivo iertutil.dll de Outbyte PC Repair (CVE-2022-36271)

Fecha de publicación:
07/09/2022
Idioma:
Español
El archivo de Instalación de Outbyte PC Repair versión 1.7.112.7856, es vulnerable a un secuestro de Dll. El archivo iertutil.dll falta, por lo que un atacante puede usar una dll maliciosa con el mismo nombre y puede conseguir privilegios de administrador
Gravedad CVSS v3.1: ALTA
Última modificación:
12/09/2022

Vulnerabilidad en el asistente de configuración de syslog-ng en Securonix Snypr (CVE-2022-37108)

Fecha de publicación:
07/09/2022
Idioma:
Español
Una vulnerabilidad de inyección en el asistente de configuración de syslog-ng en Securonix Snypr versión 6.4, permite que un usuario de la aplicación con el permiso "Manage Ingesters" ejecute código arbitrario en los ingesters remotos al añadir texto arbitrario a los archivos de texto que son ejecutados por el sistema, como los archivos crontab de los usuarios. El parche para esto estaba presente en la versión 6.4 Jun 2022 R3_[06170871] de SNYPR, pero puede haber sido introducido antes
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2022

Vulnerabilidad en la aplicación Blink1Control2 (CVE-2022-35513)

Fecha de publicación:
07/09/2022
Idioma:
Español
La aplicación Blink1Control2 versiones anteriores a 2.2.7 incluyéndola, usa un cifrado de contraseña débil y un método de almacenamiento no seguro
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en XWiki Platform Old Core (CVE-2022-31166)

Fecha de publicación:
07/09/2022
Idioma:
Español
XWiki Platform Old Core es un paquete central para XWiki Platform, una plataforma wiki genérica. A partir de las versiones 11.3.7, 11.0.3 y 12.0RC1, es posible explotar un error en la resolución de grupos de XWikiRights para obtener una escalada de privilegios. Más específicamente, la edición de un derecho con el editor de objetos conlleva a una adición de un valor vacío suplementario a los grupos que luego es resuelto como una referencia a la página XWiki.WebHome. Añadiendo un XWikiGroup xobject a esa página entonces es transformada en un grupo, cualquier usuario puesto en ese grupo obtendría entonces los privilegios relacionados con el derecho editado. Ten en cuenta que este problema de seguridad es mitigado normalmente por el hecho de que XWiki.WebHome (y el espacio XWiki en general) debería estar protegido por defecto para los derechos de edición. El problema ha sido parcheado en XWiki versiones 13.10.4 y 14.2RC1 para no considerar más valores vacíos en XWikiRights. Es posible mitigar el problema al establecer los derechos apropiados en la página XWiki.WebHome para evitar que los usuarios la editen
Gravedad CVSS v3.1: ALTA
Última modificación:
13/09/2022

Vulnerabilidad en ActivityWatch (CVE-2022-31149)

Fecha de publicación:
07/09/2022
Idioma:
Español
ActivityWatch es un sistema automatizado de seguimiento del tiempo de código abierto. Las versiones anteriores a 0.12.0b2 son vulnerables a ataques de reenganche de DNS. Esta vulnerabilidad afecta a todos los que ejecutan ActivityWatch y da al atacante acceso completo a la API REST de ActivityWatch. Los usuarios deben actualizar a versión 0.12.0b2 o posteriores para recibir un parche. Como mitigación, bloquee las búsquedas de DNS que resuelven a 127.0.0.1
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/09/2022

Vulnerabilidad en XWiki Platform Security Parent POM (CVE-2022-31167)

Fecha de publicación:
07/09/2022
Idioma:
Español
XWiki Platform Security Parent POM contiene las APIs de seguridad para la plataforma XWiki, una plataforma wiki genérica. A partir de la versión 5.0 y anteriores a 12.10.11, 13.10.1 y 13.4.6, un error en la caché de seguridad almacena las reglas asociadas al documento Página1.Página2 y al espacio Página1.Página2 en la misma entrada de la caché. Eso significa que es posible sobrescribir los derechos de un espacio o un documento creando la página del espacio con el mismo nombre y comprobando primero el derecho del nuevo para que acaben en la caché de seguridad y sean usados también para el otro. El problema ha sido parcheado en XWiki versiones 12.10.11, 13.10.1 y 13.4.6. No se presentan mitigaciones conocidas
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2022

Vulnerabilidad en DDMAL MEI2Volpiano (CVE-2022-37189)

Fecha de publicación:
07/09/2022
Idioma:
Español
DDMAL MEI2Volpiano versión 0.8.2, es vulnerable a un ataque de tipo XML External Entity (XXE), conllevando a una Denegación de Servicio. Esto ocurre debido al uso de la biblioteca no segura "xml.etree" para analizar la entrada XML no confiable
Gravedad CVSS v3.1: ALTA
Última modificación:
10/09/2022

Vulnerabilidad en Sqlalchemy mako (CVE-2022-40023)

Fecha de publicación:
07/09/2022
Idioma:
Español
Sqlalchemy mako versiones anteriores a 1.2.2, es vulnerable a una Denegación de Servicio de expresiones Regulares cuando es usada la clase Lexer para analizar. Esto también afecta a babelplugin y linguaplugin
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en SUSE Rancher (CVE-2021-36782)

Fecha de publicación:
07/09/2022
Idioma:
Español
Una vulnerabilidad de Almacenamiento en Texto sin Cifrar de Información confidencial en SUSE Rancher permite a propietarios de clústeres, los miembros de clústeres, los propietarios de proyectos, los miembros de proyectos y la base de usuarios autenticados usar la API de Kubernetes para recuperar una versión en texto sin cifrar de datos confidenciales. Este problema afecta a: SUSE Rancher versiones anteriores a 2.5.16; Rancher versiones anteriores a 2.6.7
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/01/2023