Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (https://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (https://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2022-35508

Gravedad: 
Sin asignar
Fecha publicación : 
04/12/2022
Última modificación: 
04/12/2022
Descripción:  
*** Pendiente de traducción *** Proxmox Virtual Environment (PVE) and Proxmox Mail Gateway (PMG) are vulnerable to SSRF when proxying HTTP requests between pve(pmg)proxy and pve(pmg)daemon. An attacker with an unprivileged account can craft an HTTP request to achieve SSRF and file disclosure of any files on the server. Also, in Proxmox Mail Gateway, privilege escalation to the root@pam account is possible if the backup feature has ever been used, because backup files such as pmg-backup_YYYY_MM_DD_*.tgz have 0644 permissions and contain an authkey value. This is fixed in pve-http-server 4.1-3.

CVE-2022-35507

Gravedad: 
Sin asignar
Fecha publicación : 
04/12/2022
Última modificación: 
04/12/2022
Descripción:  
*** Pendiente de traducción *** A response-header CRLF injection vulnerability in the Proxmox Virtual Environment (PVE) and Proxmox Mail Gateway (PMG) web interface allows a remote attacker to set cookies for a victim's browser that are longer than the server expects, causing a client-side DoS. This affects Chromium-based browsers because they allow injection of response headers with %0d. This is fixed in pve-http-server 4.1-3.

CVE-2022-46414

Gravedad: 
Sin asignar
Fecha publicación : 
04/12/2022
Última modificación: 
04/12/2022
Descripción:  
*** Pendiente de traducción *** An issue was discovered in Veritas NetBackup Flex Scale through 3.0 and Access Appliance through 8.0.100. Unauthenticated remote command execution can occur via the management portal.

CVE-2022-46413

Gravedad: 
Sin asignar
Fecha publicación : 
04/12/2022
Última modificación: 
04/12/2022
Descripción:  
*** Pendiente de traducción *** An issue was discovered in Veritas NetBackup Flex Scale through 3.0 and Access Appliance through 8.0.100. Authenticated remote command execution can occur via the management portal.

CVE-2022-46412

Gravedad: 
Sin asignar
Fecha publicación : 
04/12/2022
Última modificación: 
04/12/2022
Descripción:  
*** Pendiente de traducción *** An issue was discovered in Veritas NetBackup Flex Scale through 3.0. A non-privileged user may escape a restricted shell and execute privileged commands.

CVE-2022-46411

Gravedad: 
Sin asignar
Fecha publicación : 
04/12/2022
Última modificación: 
04/12/2022
Descripción:  
*** Pendiente de traducción *** An issue was discovered in Veritas NetBackup Flex Scale through 3.0 and Access Appliance through 8.0.100. A default password is persisted after installation and may be discovered and used to escalate privileges.

CVE-2022-46410

Gravedad: 
Sin asignar
Fecha publicación : 
04/12/2022
Última modificación: 
04/12/2022
Descripción:  
*** Pendiente de traducción *** An issue was discovered in Veritas NetBackup Flex Scale through 3.0. An attacker with non-root privileges may escalate privileges to root by using specific commands.

CVE-2022-44721

Gravedad: 
Sin asignar
Fecha publicación : 
04/12/2022
Última modificación: 
04/12/2022
Descripción:  
*** Pendiente de traducción *** CrowdStrike Falcon 6.44.15806 allows an administrative attacker to uninstall Falcon Sensor, bypassing the intended protection mechanism in which uninstallation requires possessing a one-time token. (The sensor is managed at the kernel level.)

CVE-2022-46405

Gravedad: 
Sin asignar
Fecha publicación : 
04/12/2022
Última modificación: 
04/12/2022
Descripción:  
*** Pendiente de traducción *** Mastodon through 4.0.2 allows attackers to cause a denial of service (large Sidekiq pull queue) by creating bot accounts that follow attacker-controlled accounts on certain other servers associated with a wildcard DNS A record, such that there is uncontrolled recursion of attacker-generated messages.

CVE-2022-46391

Gravedad: 
Sin asignar
Fecha publicación : 
04/12/2022
Última modificación: 
03/12/2022
Descripción:  
*** Pendiente de traducción *** AWStats 7.x through 7.8 allows XSS in the hostinfo plugin due to printing a response from Net::XWhois without proper checks.

Páginas