Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2022-27306

Fecha de publicación:
01/04/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en una carga útil en el campo de texto Page Name en Totaljs (CVE-2022-26565)

Fecha de publicación:
01/04/2022
Idioma:
Español
Una vulnerabilidad de cross-site scripting (XSS) en Totaljs todas las versiones antes del commit 95f54a5commit, permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload crafteado inyectado en el campo de texto Page Name al crear una nueva página
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/05/2022

Vulnerabilidad en Wyse Device Agent (CVE-2022-23158)

Fecha de publicación:
01/04/2022
Idioma:
Español
Wyse Device Agent versión 14.6.1.4 y anteriores, contienen una vulnerabilidad de exposición de datos confidenciales. Un usuario local autenticado con privilegios estándar podría explotar esta vulnerabilidad y proporcionar información incorrecta sobre el puerto y conectarse a un servidor WMS válido
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2022

Vulnerabilidad en el componente Advanced Driver Restore en Dell Command | Update, Dell Update y Alienware Update (CVE-2022-24426)

Fecha de publicación:
01/04/2022
Idioma:
Español
La versión 4.4.0 de Dell Command | Update, Dell Update y Alienware Update contiene una vulnerabilidad de escalada de privilegios local en el componente Advanced Driver Restore. Un usuario local malintencionado podría explotar esta vulnerabilidad, llevando a una escalada de privilegios.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/05/2022

Vulnerabilidad en el paquete simple-git (CVE-2022-24066)

Fecha de publicación:
01/04/2022
Idioma:
Español
El paquete simple-git versiones anteriores a 3.5.0, es vulnerable a una inyección de comandos debido a una corrección incompleta de [CVE-2022-24433](https://security.snyk.io/vuln/SNYK-JS-SIMPLEGIT-2421199) que sólo parchea contra el vector de ataque git fetch. Un uso similar de la función --upload-pack de git también es compatible con git clone, que la corrección anterior no cubría
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en el archivo provider/libserver/ECKrbAuth.cpp de Kopano-Core (CVE-2022-26562)

Fecha de publicación:
01/04/2022
Idioma:
Español
Un problema en el archivo provider/libserver/ECKrbAuth.cpp de Kopano-Core versión v11.0.2.51, contiene un problema que permite a atacantes autenticarse incluso si la cuenta de usuario o la contraseña han caducado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/05/2023

Vulnerabilidad en Dell Wyse Management Suite (CVE-2022-23155)

Fecha de publicación:
01/04/2022
Idioma:
Español
Dell Wyse Management Suite versiones 2.0 a 3.5.2 , contienen una vulnerabilidad de carga de archivos sin restricciones. Un usuario malicioso con privilegios de administrador puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2022

Vulnerabilidad en Wyse Device Agent (CVE-2022-23157)

Fecha de publicación:
01/04/2022
Idioma:
Español
Wyse Device Agent versión 14.6.1.4 y anteriores, contienen una vulnerabilidad de exposición de datos confidenciales. Un usuario malicioso autenticado podría explotar potencialmente esta vulnerabilidad para visualizar información confidencial del servidor WMS
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2022

Vulnerabilidad en Wyse Device Agent (CVE-2022-23156)

Fecha de publicación:
01/04/2022
Idioma:
Español
Wyse Device Agent versión 14.6.1.4 y anteriores, contienen una vulnerabilidad de autenticación inapropiada. Un usuario malicioso podría explotar esta vulnerabilidad al proporcionar una entrada no válida para obtener una conexión con el servidor WMS
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2022

Vulnerabilidad en el repositorio de GitHub radareorg/radare2 (CVE-2022-1207)

Fecha de publicación:
01/04/2022
Idioma:
Español
Una lectura fuera de límites en el repositorio de GitHub radareorg/radare2 versiones anteriores a 5.6.8. Esta vulnerabilidad permite a atacantes leer información confidencial desde fuera del límite del búfer asignado
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2022

Vulnerabilidad en una inyección de argumentos hg en el paquete cocoapods-downloader (CVE-2022-21223)

Fecha de publicación:
01/04/2022
Idioma:
Español
El paquete cocoapods-downloader versiones anteriores a 1.6.2, es vulnerable a la inyección de comandos por medio de una inyección de argumentos hg. Cuando es llamada a la función de descarga (cuando se usa hg), la url (y/o revisión, etiqueta, rama) es pasada al comando hg clone de forma que pueden establecerse flags adicionales. Las flags adicionales pueden ser usadas para llevar a cabo una inyección de comandos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/04/2022

Vulnerabilidad en una inyección de argumentos git en el paquete cocoapods-downloader (CVE-2022-24440)

Fecha de publicación:
01/04/2022
Idioma:
Español
El paquete cocoapods-downloader versiones anteriores a 1.6.0, a partir de la 1.6.2 y anteriores a 1.6.3 son vulnerables a la inyección de comandos por medio de una inyección de argumentos git. Cuando es llamada a la función Pod::Downloader.preprocess_options y es usado git, tanto el parámetro git como el de la rama son pasados al subcomando git ls-remote de forma que pueden establecerse flags adicionales. Las flags adicionales pueden usarse para llevar a cabo una inyección de comandos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/04/2022