Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la carga del historial de llamadas de CallKit en iOS de Apple (CVE-2017-2375)
Fecha de publicación:
23/12/2021
Idioma:
Español
Se presentó un problema para evitar la carga del historial de llamadas de CallKit a iCloud. Este problema se abordó mediante una lógica mejorada. Este problema se ha corregido en iOS versión 10.2.1. Las actualizaciones del historial de llamadas de CallKit se envían a iCloud
Gravedad CVSS v3.1: BAJA
Última modificación:
05/01/2022

Vulnerabilidad en iOS versión 11.2, watchOS de Apple (CVE-2017-13880)
Fecha de publicación:
23/12/2021
Idioma:
Español
Se abordó un problema de corrupción de memoria con un manejo de la memoria mejorada. Este problema se ha corregido en iOS versión 11.2, watchOS versión 4.2. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios del kernel
Gravedad CVSS v3.1: ALTA
Última modificación:
06/01/2022

Vulnerabilidad en un parámetro específico en la contraseña de la API en mySCADA myPRO (CVE-2021-22657)
Fecha de publicación:
23/12/2021
Idioma:
Español
mySCADA myPRO: Versiones 8.20.0 y anteriores, presentan una función en la que es posible especificar la contraseña de la API, que puede permitir a un atacante inyectar comandos arbitrarios del sistema operativo mediante un parámetro específico
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/12/2021

Vulnerabilidad en el archivo fs/f2fs/xattr.c en la función __f2fs_setxattr en el kernel de Linux (CVE-2021-45469)
Fecha de publicación:
23/12/2021
Idioma:
Español
En la función __f2fs_setxattr en el archivo fs/f2fs/xattr.c en el kernel de Linux versiones hasta 5.15.11, se presenta un acceso a memoria fuera de límites cuando un inodo presenta una última entrada xattr no válida
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un archivo PDF (CVE-2021-40160)
Fecha de publicación:
23/12/2021
Idioma:
Español
PDFTron antes de la versión 9.0.7 puede ser forzado a leer más allá de los límites asignados al analizar un archivo PDF malicioso. Esta vulnerabilidad puede ser explotada para ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2022

Vulnerabilidad en archivos DLL en PDF (CVE-2021-40161)
Fecha de publicación:
23/12/2021
Idioma:
Español
Una vulnerabilidad de corrupción de memoria puede conducir a la ejecución de código a través de archivos DLL maliciosamente diseñados a través de PDFTron anterior a la versión 9.0.7
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en PunktSentenceTokenizer, sent_tokenize y word_tokenize en NLTK (Natural Language Toolkit) (CVE-2021-43854)
Fecha de publicación:
23/12/2021
Idioma:
Español
NLTK (Natural Language Toolkit) es un conjunto de módulos de código abierto de Python, conjuntos de datos y tutoriales que apoyan la investigación y el desarrollo en el procesamiento del lenguaje natural. Las Versiones anteriores a 3.6.5, son vulnerables a ataques de denegación de servicio con expresiones regulares (ReDoS). La vulnerabilidad está presente en PunktSentenceTokenizer, sent_tokenize y word_tokenize. Cualquier usuario de esta clase, o de estas dos funciones, es vulnerable al ataque ReDoS. En resumen, una entrada larga específicamente diseñada para cualquiera de estas funciones vulnerables causará que tomen una cantidad significativa de tiempo de ejecución. Si su programa depende de cualquiera de las funciones vulnerables para tokenizar entradas de usuario imprevisibles, le recomendamos encarecidamente que actualice a una versión de NLTK sin la vulnerabilidad. Para usuarios que no puedan actualizarse, el tiempo de ejecución puede limitarse mediante la limitación de la longitud máxima de una entrada a cualquiera de las funciones vulnerables. Nuestra recomendación es implementar dicho límite
Gravedad CVSS v3.1: ALTA
Última modificación:
04/01/2022

Vulnerabilidad en pytorch-lightning (CVE-2021-4118)
Fecha de publicación:
23/12/2021
Idioma:
Español
pytorch-lightning es vulnerable a una Deserialización de Datos No Confiables
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2024

Vulnerabilidad en cordova-plugin-fingerprint-aio (CVE-2021-43849)
Fecha de publicación:
23/12/2021
Idioma:
Español
cordova-plugin-fingerprint-aio es un plugin que proporciona una interfaz única y sencilla para acceder a las API de huellas dactilares tanto en Android 6+ como en iOS. En versiones anteriores a 5.0.1 la actividad exportada "de.niklasmerz.cordova.biometric.BiometricActivity" puede causar un bloqueo de la aplicación. Esta vulnerabilidad es producida porque la actividad no maneja el caso de que es solicitado con datos no válidos o vacíos, lo que resulta en un bloqueo. Cualquier aplicación de terceros puede llamar constantemente a esta actividad sin permiso. Una aplicación de terceros/atacante usando un escuchador de eventos puede detener continuamente el funcionamiento de la aplicación y hacer que la víctima no pueda abrirla. La versión 5.0.1 del cordova-plugin-fingerprint-aio ya no exporta la actividad y ya no es vulnerable. Si quieres arreglar versiones anteriores cambia el atributo android:exported en el plugin.xml a false. Actualiza a versión 5.0.1 lo antes posible
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/01/2022

Vulnerabilidad en NVIDIA GeForce Experience (CVE-2021-23175)
Fecha de publicación:
23/12/2021
Idioma:
Español
NVIDIA GeForce Experience contiene una vulnerabilidad en la autorización de usuarios, en la que GameStream no aplica correctamente los controles de acceso individuales para los usuarios del mismo dispositivo, lo que, con la intervención del usuario, puede conllevar a una escalada de privilegios, divulgación de información, manipulación de datos y denegación de servicio, afectando a otros recursos más allá de la autoridad de seguridad prevista de GameStream
Gravedad CVSS v3.1: ALTA
Última modificación:
07/01/2022

CVE-2021-3892
Fecha de publicación:
23/12/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2019-18198. Reason: This candidate is a reservation duplicate of CVE-2019-18198. Notes: All CVE users should reference CVE-2019-18198 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en determinadas configuraciones de administración en Zoho ManageEngine ServiceDesk Plus (CVE-2021-44526)
Fecha de publicación:
23/12/2021
Idioma:
Español
Zoho ManageEngine ServiceDesk Plus versiones anteriores a 12003, permite omitir la autenticación en determinadas configuraciones de administración
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/07/2022
Suscribirse a Vulnerabilidades