Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en D-Bus (CVE-2022-42012)
Fecha de publicación:
10/10/2022
Idioma:
Español
Se ha detectado un problema en D-Bus versiones anteriores a 1.12.24, versiones 1.13.x y 1.14.x anteriores a 1.14.4, y versiones 1.15.x anteriores a 1.15.2. Un atacante autenticado puede causar que dbus-daemon y otros programas que usan libdbus sean bloqueados al enviar un mensaje con descriptores de archivo adjuntos en un formato no esperado
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2025

Vulnerabilidad en el archivo mm/rmap.c en el kernel de Linux (CVE-2022-42703)
Fecha de publicación:
09/10/2022
Idioma:
Español
El archivo mm/rmap.c en el kernel de Linux versiones anteriores a 5.19.7, presenta un uso de memoria previamente liberada relacionado con un doble reúso de la hoja anon_vma
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2023

Vulnerabilidad en el archivo edit-photo.php del componente Photo Handler en SourceCodester Web-Based Student Clearance System (CVE-2022-3436)
Fecha de publicación:
09/10/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Web-Based Student Clearance System versión 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo edit-photo.php del componente Photo Handler. La manipulación conlleva a una carga sin restricciones. El ataque puede ser lanzado de forma remota. El identificador asociado a esta vulnerabilidad es VDB-210367
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2023

Vulnerabilidad en el archivo net/ipv4/fib_semantics.c en la función fib_nh_match en el Kernel de Linux (CVE-2022-3435)
Fecha de publicación:
08/10/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como problemática en el Kernel de Linux. Afecta a la función fib_nh_match del archivo net/ipv4/fib_semantics.c del componente IPv4 Handler. La manipulación conlleva a una lectura fuera de límites. Es posible iniciar el ataque de forma remota. Es recomendado aplicar un parche para corregir este problema. Ha sido asignado el identificador VDB-210357 a esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la función de preparación del archivo /Admin/add-student.php en SourceCodester Web-Based Student Clearance System (CVE-2022-3434)
Fecha de publicación:
08/10/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en SourceCodester Web-Based Student Clearance System. Ha sido calificada como problemática. Este problema afecta a la función de preparación del archivo /Admin/add-student.php. La manipulación conlleva a un ataque de tipo cross site scripting. El ataque puede ser lanzado remotamente. La explotación ha sido divulgada al público y puede ser usada. El identificador de esta vulnerabilidad es VDB-210356
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en fat_free_crm (CVE-2022-39281)
Fecha de publicación:
08/10/2022
Idioma:
Español
fat_free_crm es una plataforma de administración de las relaciones con los clientes (CRM) de código abierto, basada en Ruby on Rails. En versiones anteriores a 0.20.1 un usuario autenticado puede llevar a cabo un ataque remoto de denegación de servicio contra Fat Free CRM por medio de un acceso a un cubo. La vulnerabilidad ha sido parcheada en el commit "c85a254" y estará disponible en versión "0.20.1". Es recomendado a usuarios actualizar o aplicar manualmente el parche "c85a254". No se presentan mitigaciones conocidas para este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/10/2022

Vulnerabilidad en el componente /baseOpLog.do en ZKteco ZKBioSecurity V5000 (CVE-2022-36635)
Fecha de publicación:
07/10/2022
Idioma:
Español
Se ha detectado que ZKteco ZKBioSecurity V5000 versión 4.1.3, contiene una vulnerabilidad de inyección SQL por medio del componente /baseOpLog.do
Gravedad CVSS v3.1: ALTA
Última modificación:
11/10/2022

Vulnerabilidad en la función setStorageParams en el archivo SettingController.php en PicUploader (CVE-2022-41442)
Fecha de publicación:
07/10/2022
Idioma:
Español
Se ha detectado que PicUploader versión v2.6.3, contiene una vulnerabilidad de tipo cross-site scripting (XSS) por medio de la función setStorageParams en el archivo SettingController.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/10/2022

Vulnerabilidad en un archivo Everest.exe en la carpeta %PROGRAMDATA%\Panini en Panini Everest Engine (CVE-2022-39959)
Fecha de publicación:
07/10/2022
Idioma:
Español
Panini Everest Engine versión 2.0.4, permite a usuarios no privilegiados crear un archivo llamado Everest.exe en la carpeta %PROGRAMDATA%\Panini. Esto conlleva a una escalada de privilegios porque un servicio, que es ejecutado como SYSTEM, usa la ruta no citada de %PROGRAMDATA%\Panini\Everest Engine\EverestEngine.exe y, por lo tanto, puede ejecutarse un troyano %PROGRAMDATA%\Panini\Everest.exe en lugar del archivo EverestEngine.exe previsto por el proveedor
Gravedad CVSS v3.1: ALTA
Última modificación:
11/10/2022

Vulnerabilidad en Gradle Enterprise (CVE-2022-41574)
Fecha de publicación:
07/10/2022
Idioma:
Español
Una vulnerabilidad de control de acceso en Gradle Enterprise versiones 2022.4 hasta 2022.3.1 permite a atacantes remotos evitar que sean realizadas copias de seguridad y enviar correos electrónicos con contenido de texto arbitrario a la dirección de contacto del administrador de la instalación configurada, por medio de acceso HTTP a un endpoint interno expuesto accidentalmente. Esto ha sido corregido en versión 2022.3.2
Gravedad CVSS v3.1: ALTA
Última modificación:
11/10/2022

Vulnerabilidad en el módulo puppetlabs-mysql (CVE-2022-3276)
Fecha de publicación:
07/10/2022
Idioma:
Español
Una inyección de comandos es posible en el módulo puppetlabs-mysql versiones anteriores a 13.0.0. Un actor malicioso puede explotar esta vulnerabilidad sólo si es capaz de proporcionar una entrada no saneada al módulo. Esta condición es rara en la mayoría de las implementaciones de Puppet y Puppet Enterprise
Gravedad CVSS v3.1: ALTA
Última modificación:
29/06/2023

Vulnerabilidad en PSC (Platform services controller) en el servidor vCenter (CVE-2022-31680)
Fecha de publicación:
07/10/2022
Idioma:
Español
El servidor vCenter contiene una vulnerabilidad de deserialización no segura en el PSC (Platform services controller). Un actor malicioso con acceso de administrador en el servidor vCenter puede aprovechar este problema para ejecutar código arbitrario en el sistema operativo subyacente que aloja el servidor vCenter
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/10/2022
Suscribirse a Vulnerabilidades