Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (https://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (https://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2022-24188

Gravedad: 
Sin asignar
Fecha publicación : 
28/11/2022
Última modificación: 
28/11/2022
Descripción:  
*** Pendiente de traducción *** The /device/signin end-point for the Ourphoto App version 1.4.1 discloses clear-text password information for functionality within the picture frame devices. The deviceVideoCallPassword and mqttPassword are returned in clear-text. The lack of sessions management and presence of insecure direct object references allows to return password information for other end-users devices. Many of the picture frame devices offer video calling, and it is likely this information can be used to abuse that functionality.

CVE-2022-24187

Gravedad: 
Sin asignar
Fecha publicación : 
28/11/2022
Última modificación: 
28/11/2022
Descripción:  
*** Pendiente de traducción *** The user_id and device_id on the Ourphoto App version 1.4.1 /device/* end-points both suffer from insecure direct object reference vulnerabilities. Other end-users user_id and device_id values can be enumerated by incrementing or decrementing id numbers. The impact of this vulnerability allows an attacker to discover sensitive information such as end-user email addresses, and their unique frame_token value of all other Ourphoto App end-users.

CVE-2022-4129

Gravedad: 
Sin asignar
Fecha publicación : 
28/11/2022
Última modificación: 
28/11/2022
Descripción:  
*** Pendiente de traducción *** A flaw was found in the Linux kernel's Layer 2 Tunneling Protocol (L2TP). A missing lock when clearing sk_user_data can lead to a race condition and NULL pointer dereference. A local user could use this flaw to potentially crash the system causing a denial of service.

CVE-2022-46147

Gravedad: 
Sin asignar
Fecha publicación : 
28/11/2022
Última modificación: 
28/11/2022
Descripción:  
*** Pendiente de traducción *** Drag and Drop XBlock v2 implements a drag-and-drop style problem, where a learner has to drag items to zones on a target image. Versions prior to 3.0.0 are vulnerable to cross-site scripting in multiple XBlock Fields. Any platform that has deployed the XBlock may be impacted. Version 3.0.0 contains a patch for this issue. There are no known workarounds.

CVE-2022-45921

Gravedad: 
Sin asignar
Fecha publicación : 
28/11/2022
Última modificación: 
28/11/2022
Descripción:  
*** Pendiente de traducción *** FusionAuth before 1.41.3 allows a file outside of the application root to be viewed or retrieved using an HTTP request. To be specific, an attacker may be able to view or retrieve any file readable by the user running the FusionAuth process.

CVE-2022-45442

Gravedad: 
Sin asignar
Fecha publicación : 
28/11/2022
Última modificación: 
28/11/2022
Descripción:  
*** Pendiente de traducción *** Sinatra is a domain-specific language for creating web applications in Ruby. An issue was discovered in Sinatra 2.0 before 2.2.3 and 3.0 before 3.0.4. An application is vulnerable to a reflected file download (RFD) attack that sets the Content-Disposition header of a response when the filename is derived from user-supplied input. Version 2.2.3 and 3.0.4 contain patches for this issue.

CVE-2022-44937

Gravedad: 
Sin asignar
Fecha publicación : 
28/11/2022
Última modificación: 
28/11/2022
Descripción:  
*** Pendiente de traducción *** Bosscms v2.0.0 was discovered to contain a Cross-Site Request Forgery (CSRF) via the Add function under the Administrator List module.

CVE-2022-41965

Gravedad: 
Sin asignar
Fecha publicación : 
28/11/2022
Última modificación: 
28/11/2022
Descripción:  
*** Pendiente de traducción *** Opencast is a free, open-source platform to support the management of educational audio and video content. Prior to Opencast 12.5, Opencast's Paella authentication page could be used to redirect to an arbitrary URL for authenticated users. The vulnerability allows attackers to redirect users to sites outside of one's Opencast install, potentially facilitating phishing attacks or other security issues. This issue is fixed in Opencast 12.5 and newer.

CVE-2022-38140

Gravedad: 
Sin asignar
Fecha publicación : 
28/11/2022
Última modificación: 
28/11/2022
Descripción:  
*** Pendiente de traducción *** Auth. (contributor+) Arbitrary File Upload in SEO Plugin by Squirrly SEO plugin

CVE-2022-34654

Gravedad: 
Sin asignar
Fecha publicación : 
28/11/2022
Última modificación: 
28/11/2022
Descripción:  
*** Pendiente de traducción *** Cross-Site Request Forgery (CSRF) in Virgial Berveling's Manage Notification E-mails plugin

Páginas