Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un servicio de comunicación específico en Emerson OpenEnterprise (CVE-2020-10640)
Fecha de publicación:
24/02/2022
Idioma:
Español
Emerson OpenEnterprise versiones hasta la 3.3.4, pueden permitir a un atacante ejecutar un comando arbitrario con privilegios del sistema o llevar a cabo una ejecución de código remota por medio de un servicio de comunicación específico
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/03/2022

Vulnerabilidad en la herramienta DeskLock proporcionada con FactoryTalk View SE (CVE-2020-14481)
Fecha de publicación:
24/02/2022
Idioma:
Español
La herramienta DeskLock proporcionada con FactoryTalk View SE usa un algoritmo de cifrado débil que puede permitir a un atacante local y autenticado descifrar las credenciales de usuario, incluyendo el usuario de Windows o las contraseñas de Windows DeskLock. Si el usuario comprometido presenta una cuenta administrativa, un atacante podría conseguir acceso completo al sistema operativo del usuario y a determinados componentes de FactoryTalk View SE
Gravedad CVSS v3.1: ALTA
Última modificación:
17/04/2025

Vulnerabilidad en determinadas credenciales (CVE-2020-14480)
Fecha de publicación:
24/02/2022
Idioma:
Español
Debido a que los nombres de usuario/contraseñas son almacenadas en texto plano en la Memoria de Acceso Aleatorio (RAM), un atacante local y autenticado podría conseguir acceso a determinadas credenciales, incluidas las de inicio de sesión de Windows
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2025

Vulnerabilidad en La interfaz web del módulo de comunicación 1734-AENTR (CVE-2020-14504)
Fecha de publicación:
24/02/2022
Idioma:
Español
La interfaz web del módulo de comunicación 1734-AENTR maneja inapropiadamente la autenticación para las peticiones HTTP POST. Un atacante remoto no autenticado puede enviar una petición diseñada que puede permitir la modificación de los ajustes de configuración
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/04/2025

Vulnerabilidad en Cybonet (CVE-2022-22794)
Fecha de publicación:
24/02/2022
Idioma:
Español
Cybonet - Una Inyección Sql no autenticada en PineApp Mail Relay. El atacante puede enviar una petición a: /manage/emailrichment/userlist.php?CUSTOMER_ID_INNER=1 /admin/emailrichment/userlist.php?CUSTOMER_ID_INNER=1 /manage/emailrichment/usersunlist.php?CUSTOMER_ID_INNER=1 /admin/emailrichment/usersunlist.php?CUSTOMER_ID_INNER=1 y al hacerlo, el atacante puede ejecutar una Ejecución de Código Remota en una línea
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/10/2022

Vulnerabilidad en los datos de configuración RESTAPI en IBM Sterling External Authentication Server (CVE-2022-22349)
Fecha de publicación:
24/02/2022
Idioma:
Español
IBM Sterling External Authentication Server versiones 3.4.3.2, 6.0.2.0, y 6.0.3.0, es vulnerable a saltos de ruta, debido a que no son comprobados apropiadamente los datos de configuración RESTAPI. Un usuario autorizado podría importar datos no válidos que podrían ser usados para un ataque. IBM X-Force ID: 220144
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/03/2022

Vulnerabilidad en IBM AIX y VIOS (CVE-2021-38995)
Fecha de publicación:
24/02/2022
Idioma:
Español
IBM AIX versiones 7.1, 7.2, 7.3 y VIOS versión 3.1, podrían permitir a un usuario local no privilegiado aprovechar una vulnerabilidad en el kernel de AIX para causar una denegación de servicio. IBM X-Force ID: 213073
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/03/2022

Vulnerabilidad en IBM WebSphere Application Server e IBM WebSphere Application Server Liberty (CVE-2021-39038)
Fecha de publicación:
24/02/2022
Idioma:
Español
IBM WebSphere Application Server versión 9.0 e IBM WebSphere Application Server Liberty versiones 17.0.0.3 hasta 22.0.0.2, podrían permitir a un atacante remoto secuestrar la acción de hacer clic de la víctima. Al persuadir a una víctima para que visite un sitio web malicioso, un atacante remoto podría explotar esta vulnerabilidad para secuestrar las acciones de clic de la víctima y posiblemente lanzar más ataques contra ella. IBM X-Force ID: 213968
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/03/2022

Vulnerabilidad en IBM AIX y VIOS (CVE-2021-38994)
Fecha de publicación:
24/02/2022
Idioma:
Español
IBM AIX versiones 7.1, 7.2, 7.3 y VIOS versión 3.1, podrían permitir a un usuario local no privilegiado aprovechar una vulnerabilidad en el kernel de AIX para causar una denegación de servicio. IBM X-Force ID: 213072
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/03/2022

Vulnerabilidad en Cybonet (CVE-2022-22793)
Fecha de publicación:
24/02/2022
Idioma:
Español
Cybonet - Una inclusión de Archivos Locales en PineApp Mail Relay. El atacante puede enviar una petición a : /manage/mailpolicymtm/log/eml_viewer/email.content.body.php?filesystem_path=ENCDODED PATH y al hacerlo, el atacante puede leer Archivos Locales dentro del servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2022

Vulnerabilidad en el nombre del grupo primario en Anuko Time Tracker (CVE-2022-24708)
Fecha de publicación:
24/02/2022
Idioma:
Español
Anuko Time Tracker es una aplicación de seguimiento del tiempo basada en la web y de código abierto escrita en PHP. ttUser.class.php en Time Tracker versiones anteriores a 1.20.0.5646, no escapaba el nombre del grupo primario para su visualización. Debido a esto, era posible que un usuario conectado modificara el nombre del grupo primario con elementos de JavaScript. Dicho script podía ser ejecutado en el navegador del usuario en peticiones posteriores en páginas donde fuera mostrado el nombre del grupo primario. Esta vulnerabilidad ha sido corregida en versión 1.20.0.5646. Los usuarios que no puedan actualizar pueden modificar ttUser.class.php para usar una llamada adicional a htmlspecialchars cuando es impreso el nombre del grupo
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2022

Vulnerabilidad en el plugin Puncher de Time Tracker en Anuko Time Tracker (CVE-2022-24707)
Fecha de publicación:
24/02/2022
Idioma:
Español
Anuko Time Tracker es una aplicación de seguimiento del tiempo basada en la web y de código abierto escrita en PHP. Unas vulnerabilidades de inyección SQL y de inyección ciega basada en el tiempo se presentan en el plugin Puncher de Time Tracker en anuko timetracker versiones anteriores a 1.20.0.5642. Esto ocurría porque el plugin Puncher reusaba código de otros lugares y era basado en un parámetro de fecha no saneado en las peticiones POST. Como el parámetro no era comprobado, era posible diseñar peticiones POST con SQL malicioso para la base de datos de Time Tracker. Este problema ha sido resuelto en versión 1.20.0.5642. Es recomendado a usuarios que no puedan actualizarse añadir sus propias comprobaciones a la entrada
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2022
Suscribirse a Vulnerabilidades