Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un puntero no inicializado en el producto afectado (CVE-2022-30540)

Fecha de publicación:
02/06/2022
Idioma:
Español
El producto afectado es vulnerable a un desbordamiento de búfer en la región heap de la memoria por medio de un puntero no inicializado, lo que puede permitir a un atacante ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2023

Vulnerabilidad en la interfaz de configuración web del lado de la LAN en el firmware del router Wi-Fi D-Link DIR-890L (CVE-2022-30521)

Fecha de publicación:
02/06/2022
Idioma:
Español
La interfaz de configuración web del lado de la LAN presenta una vulnerabilidad de desbordamiento de búfer en la región Stack de la memoria en el firmware del router Wi-Fi D-Link DIR-890L versiones DIR890LA1_FW107b09.bin y anteriores. La función creada en 0x17958 de /htdocs/cgibin llama a sprintf sin comprobar la longitud de las cadenas en los parámetros dados por el encabezado HTTP y puede ser controlada por los usuarios fácilmente. Los atacantes pueden explotar la vulnerabilidad para realizar código arbitrario mediante el envío de una carga útil especialmente construida al puerto 49152
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/08/2023

Vulnerabilidad en HashiCorp Nomad y Nomad Enterprise (CVE-2022-30324)

Fecha de publicación:
02/06/2022
Idioma:
Español
HashiCorp Nomad y Nomad Enterprise versiones 0.2.0 hasta 1.3.0, fueron impactados por vulnerabilidades de go-getter que permiten una escalada de privilegios mediante la estrofa de artefactos en los trabajos enviados en el host del agente cliente. Corregido en versiones 1.1.14, 1.2.8 y 1.3.1
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/06/2022

Vulnerabilidad en siteserver SSCMS (CVE-2022-30349)

Fecha de publicación:
02/06/2022
Idioma:
Español
siteserver SSCMS versión 6.15.51, es vulnerable a un ataque de tipo Cross Site Scripting (XSS)
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/06/2022

Vulnerabilidad en el parámetro "auth_user" en el script index.php en phpABook (CVE-2022-30352)

Fecha de publicación:
02/06/2022
Idioma:
Español
phpABook versión 0.9i, es vulnerable a una Inyección SQL debido a un saneo insuficiente de los datos suministrados por el usuario en el parámetro "auth_user" en el script index.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/06/2022

Vulnerabilidad en el punto de carga del perfil del usuario en la información del sistema en Merchandise Online Store de oretnom23 (CVE-2022-30423)

Fecha de publicación:
02/06/2022
Idioma:
Español
Merchandise Online Store versión v1.0 de oretnom23, presenta una vulnerabilidad de ejecución de código arbitrario (RCE) en el punto de carga del perfil del usuario en la información del sistema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/06/2022

Vulnerabilidad en una petición POST en los parámetros pingAddr y traceAddr en Tenda Technology Co.,Ltd HG6 (CVE-2022-30425)

Fecha de publicación:
02/06/2022
Idioma:
Español
Se ha detectado que Tenda Technology Co.,Ltd HG6 versión 3.3.0-210926, contiene una vulnerabilidad de inyección de comandos por medio de los parámetros pingAddr y traceAddr. Esta vulnerabilidad es explotada por medio de una petición POST diseñada
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2022

Vulnerabilidad en Afian Filerun (CVE-2022-30470)

Fecha de publicación:
02/06/2022
Idioma:
Español
En Afian Filerun versión 20220202 El cambio de la variable "search_tika_path" a un archivo jar personalizado (y previamente cargado) resulta en una ejecución de código remota en el contexto del usuario del servidor web
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/06/2022

Vulnerabilidad en curl (CVE-2022-30115)

Fecha de publicación:
02/06/2022
Idioma:
Español
usando su soporte HSTS, curl puede ser instruido para usar HTTPS directamente en lugar de usar un paso no seguro de texto sin cifrar HTTP incluso cuando HTTP es proporcionado en la URL. Este mecanismo podría ser omitido si el nombre de host en la URL dada usara un endpoint mientras no es usado uno cuando es construida la caché HSTS. O al revés, si el endpoint estuviera en la caché HSTS y *no* es usado el punto al final en la URL
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/01/2023

Vulnerabilidad en el archivo src/njs_array.c en la función njs_array_prototype_sort en Nginx NJS (CVE-2022-29780)

Fecha de publicación:
02/06/2022
Idioma:
Español
Se ha detectado que Nginx NJS versión v0.7.2, contiene una violación de segmentación en la función njs_array_prototype_sort en el archivo src/njs_array.c
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2022

Vulnerabilidad en el archivosrc/njs_value.c en la función njs_value_own_enumerate en Nginx NJS (CVE-2022-29779)

Fecha de publicación:
02/06/2022
Idioma:
Español
Se ha detectado que Nginx NJS versión v0.7.2, contiene una violación de segmentación en la función njs_value_own_enumerate en el archivo src/njs_value.c
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2022

Vulnerabilidad en una petición HTTP en Delta Controls enteliTOUCH (CVE-2022-29735)

Fecha de publicación:
02/06/2022
Idioma:
Español
Delta Controls enteliTOUCH versiones 3.40.3935, 3.40.3706 y 3.33.4005, permite a atacantes ejecutar comandos arbitrarios por medio de una petición HTTP diseñada
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2022