Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un archivo de imagen/USB en udisks2 (CVE-2021-3802)
Fecha de publicación:
29/11/2021
Idioma:
Español
Una vulnerabilidad encontrada en udisks2. Este fallo permite a un atacante introducir un archivo de imagen/USB especialmente diseñado, conllevando a un pánico del kernel. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/04/2023

Vulnerabilidad en el archivo web/add/user/index.php en vesta (CVE-2021-43693)
Fecha de publicación:
29/11/2021
Idioma:
Español
vesta versión 0.9.8-24, está afectado por una vulnerabilidad de inclusión de archivos en el archivo web/add/user/index.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/11/2021

Vulnerabilidad en el archivo ytproxy/index.php en youtube-php-mirroring (CVE-2021-43692)
Fecha de publicación:
29/11/2021
Idioma:
Español
youtube-php-mirroring (última actualización 9 de junio de 2017) está afectado por una vulnerabilidad de Cross Site Scripting (XSS) en el archivo ytproxy/index.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/10/2022

Vulnerabilidad en el archivo page.backup_restore.php en issabelPBX (CVE-2021-43695)
Fecha de publicación:
29/11/2021
Idioma:
Español
La versión 2.11 de issabelPBX está afectada por una vulnerabilidad de Cross Site Scripting (XSS). En el archivo page.backup_restore.php, la función exit terminará el script e imprimirá el mensaje al usuario. El mensaje contendrá $_REQUEST sin sanear, por lo que existe una vulnerabilidad XSS
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2021

Vulnerabilidad en Controller.class.php en Workerman-ThinkPHP-Redis (CVE-2021-43697)
Fecha de publicación:
29/11/2021
Idioma:
Español
Workerman-ThinkPHP-Redis (última actualización 16 de marzo de 2018) está afectado por una vulnerabilidad de Cross Site Scripting (XSS). En el archivo Controller.class.php, la función exit terminará el script e imprimirá el mensaje al usuario. El mensaje contendrá $_GET{C('VAR_JSONP_HANDLER')] entonces hay una vulnerabilidad XSS
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/12/2021

Vulnerabilidad en el archivo list.php en twmap (CVE-2021-43696)
Fecha de publicación:
29/11/2021
Idioma:
Español
twmap versión v2.91_v4.33 está afectado por una vulnerabilidad de Cross Site Scripting (XSS). En el archivo list.php, la función exit terminará el script e imprimirá el mensaje al usuario. El mensaje contendrá $_REQUEST entonces hay una vulnerabilidad XSS.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/10/2022

Vulnerabilidad en el archivo example.php en phpWhois (CVE-2021-43698)
Fecha de publicación:
29/11/2021
Idioma:
Español
phpWhois (última actualización 30 de junio de 2021) está afectado por una vulnerabilidad de Cross Site Scripting (XSS). En el archivo example.php, la función exit terminará el script e imprimirá el mensaje al usuario. El mensaje contendrá $_GET['query'] entonces hay una vulnerabilidad XSS
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2021

Vulnerabilidad en la configuración del plugin en el plugin Smash Balloon Social Post Feed de WordPress (CVE-2021-24918)
Fecha de publicación:
29/11/2021
Idioma:
Español
El plugin Smash Balloon Social Post Feed de WordPress versiones anteriores a 4.0.1, no presentaba ninguna comprobación de privilegios o nonce antes de guardar la configuración del plugin. Como resultado, cualquier usuario conectado en un sitio vulnerable podía actualizar la configuración y almacenar JavaScript falso en cada una de sus publicaciones y páginas
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/12/2021

Vulnerabilidad en el parámetro callback de la acción AJAX mc_post_lookup en el plugin My Calendar de WordPress (CVE-2021-24927)
Fecha de publicación:
29/11/2021
Idioma:
Español
El plugin My Calendar de WordPress versiones anteriores a 3.2.18, no sanea y escapa del parámetro callback de la acción AJAX mc_post_lookup (disponible para cualquier usuario autenticado) antes de devolverlo a la respuesta, conllevando a un problema de tipo Cross-Site Scripting Reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/11/2021

Vulnerabilidad en el campo URL to Blacklist en el plugin WP RSS Aggregator de WordPress (CVE-2021-24768)
Fecha de publicación:
29/11/2021
Idioma:
Español
El plugin WP RSS Aggregator de WordPress versiones anteriores a 4.19.2, no sanea ni escapa del campo URL to Blacklist, permitiendo a usuarios con altos privilegios insertar HTML malicioso incluso cuando la capacidad unfiltered_html no está permitida, que podría conllevar a problemas de tipo Cross-Site Scripting
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/12/2021

Vulnerabilidad en el parámetro cg-search-user-name-original en el plugin Contest Gallery de WordPress (CVE-2021-24915)
Fecha de publicación:
29/11/2021
Idioma:
Español
El plugin Contest Gallery de WordPress versiones anteriores a 13.1.0.6, no presenta comprobaciones de capacidad y no sanea o escapa del parámetro cg-search-user-name-original antes de usarlo en una sentencia SQL cuando son exportados usuarios de una galería, lo que podría permitir a personas no autenticadas llevar a cabo ataques de inyecciones SQL, así como conseguir la lista de todos los usuarios registrados en el blog, incluyendo su nombre de usuario y dirección de correo electrónico
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/12/2021

Vulnerabilidad en los parámetros GET order y orderby en el plugin Email Before Download de WordPress (CVE-2021-24748)
Fecha de publicación:
29/11/2021
Idioma:
Español
El plugin Email Before Download de WordPress versiones anteriores a 6.8, no comprueba ni escapa de los parámetros GET order y orderby antes de usarlos en sentencias SQL, conllevando a problemas de inyección SQL autenticada
Gravedad CVSS v3.1: ALTA
Última modificación:
29/11/2021
Suscribirse a Vulnerabilidades