Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus MSP (CVE-2021-44675)
Fecha de publicación:
20/12/2021
Idioma:
Español
Zoho ManageEngine ServiceDesk Plus MSP versiones anteriores a 10.5 Build 10534, es vulnerable a una ejecución de código remota sin autenticación debido a una omisión de filtro en la que no es requerida autenticación
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/01/2022

Vulnerabilidad en Zoho ManageEngine Access Manager Plus (CVE-2021-44676)
Fecha de publicación:
20/12/2021
Idioma:
Español
Zoho ManageEngine Access Manager Plus versiones anteriores a 4203, permite a cualquiera visualizar algunos elementos de datos (por ejemplo, detalles de control de acceso) y modificar algunos aspectos del estado de la aplicación
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en el manejador wirelessConnect de Abode iota All-In-One Security Kit (CVE-2020-8105)
Fecha de publicación:
20/12/2021
Idioma:
Español
Una vulnerabilidad de Inyección de Comandos del Sistema Operativo en el manejador wirelessConnect de Abode iota All-In-One Security Kit permite que un atacante inyecte comandos y obtenga acceso de root. Este problema afecta a: Abode iota All-In-One Security Kit versiones anteriores a 1.0.2.23_6.9V_dev_t2_homekit_RF_2.0.19_s2_kvsABODE oz
Gravedad CVSS v3.1: ALTA
Última modificación:
03/01/2022

Vulnerabilidad en Opmantek Open-AudIT Community (CVE-2021-44916)
Fecha de publicación:
20/12/2021
Idioma:
Español
Opmantek Open-AudIT Community versión 4.2.0 (Corregido en versión 4.3.0) está afectado por una vulnerabilidad de tipo Cross Site Scripting (XSS). Si es pasado un valor incorrecto a la rutina por medio de una URL, puede ejecutarse código JavaScript malicioso en el navegador de la víctima
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/02/2022

Vulnerabilidad en los archivos Parquet en Parquet-MR de Apache Parquet (CVE-2021-41561)
Fecha de publicación:
20/12/2021
Idioma:
Español
Una vulnerabilidad de comprobación de entrada inapropiada en Parquet-MR de Apache Parquet permite a un atacante hacer DoS mediante archivos Parquet maliciosos. Este problema afecta a Apache Parquet-MR versión 1.9.0 y posteriores
Gravedad CVSS v3.1: ALTA
Última modificación:
28/07/2025

Vulnerabilidad en Un URI que es enviado a httpd configurado como proxy directo en Apache HTTP Server (CVE-2021-44224)
Fecha de publicación:
20/12/2021
Idioma:
Español
Un URI diseñado que es enviado a httpd configurado como proxy directo (ProxyRequests on) puede causar un fallo (desreferencia de puntero NULL) o, en el caso de configuraciones que mezclan declaraciones de proxy directo e inverso, puede permitir que las peticiones se dirijan a un endpoint de socket de dominio Unix declarado (Server Side Request Forgery). Este problema afecta a Apache HTTP Server versiones 2.4.7 hasta 2.4.51 (incluyéndola)
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el analizador multiparte mod_lua en Apache HTTP Server (CVE-2021-44790)
Fecha de publicación:
20/12/2021
Idioma:
Español
Un cuerpo de petición cuidadosamente diseñado puede causar un desbordamiento de búfer en el analizador multiparte mod_lua (r:parsebody() llamado desde scripts Lua). El equipo de Apache httpd no presenta constancia de que se presente una explotación para esta vulnerabilidad, aunque podría ser posible diseñar uno. Este problema afecta a Apache HTTP Server versiones 2.4.51 y anteriores
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/05/2025

Vulnerabilidad en el URI /changePassword en Thinfinity VirtualUI (CVE-2021-44554)
Fecha de publicación:
20/12/2021
Idioma:
Español
Thinfinity VirtualUI versiones anteriores a 3.0, permite a un actor malicioso enumerar los usuarios registrados en el Sistema Operativo (Windows) a través del URI /changePassword. Al acceder al vector, un atacante puede determinar si se presenta un nombre de usuario gracias al mensaje devuelto; puede presentarse en diferentes idiomas según la configuración de VirtualUI. Los usuarios comunes son administrador, admin, guest y krgtbt
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/12/2021

Vulnerabilidad en action=edit&undo= seguido de action=mcrundo y action=mcrrestore en MediaWiki (CVE-2021-44858)
Fecha de publicación:
20/12/2021
Idioma:
Español
Se ha detectado un problema en MediaWiki versiones anteriores a 1.35.5, 1.36.x versiones anteriores a 1.36.3 y 1.37.x versiones anteriores a 1.37.1. Es posible usar action=edit&undo= seguido de action=mcrundo y action=mcrrestore para visualizar páginas privadas en un wiki privado que presenta al menos una página establecida en $wgWhitelistRead
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2023

Vulnerabilidad en el servicio web SyncThru en las impresoras Samsung SCX-6x55X (CVE-2021-42913)
Fecha de publicación:
20/12/2021
Idioma:
Español
El servicio web SyncThru en las impresoras Samsung SCX-6x55X permite a un atacante conseguir acceso a una lista de usuarios SMB y contraseñas en texto sin cifrar al leer el código fuente HTML
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Gurock TestRail (CVE-2021-44263)
Fecha de publicación:
20/12/2021
Idioma:
Español
Gurock TestRail versiones anteriores a 7.2.4, maneja inapropiadamente un escape de HTML
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/07/2022

Vulnerabilidad en la función mbedtls_ssl_set_session() en Mbed TLS (CVE-2021-44732)
Fecha de publicación:
20/12/2021
Idioma:
Español
Mbed TLS versiones anteriores a 3.0.1,presenta una doble liberación en determinadas condiciones de salida de memoria, como es demostrado por un fallo de la función mbedtls_ssl_set_session()
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/11/2025
Suscribirse a Vulnerabilidades