Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una petición HTTP GET en el controlador ECOA BAS (CVE-2021-41301)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS es vulnerable a una divulgación de la configuración cuando se hace referencia directa a los archivos específicos mediante una petición HTTP GET. Esto permitirá al atacante no autenticado divulgar remotamente información confidencial y le ayudará a omitir la autenticación, escalar privilegios y conseguir acceso total al sistema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/10/2021

Vulnerabilidad en la página especial del controlador ECOA BAS (CVE-2021-41300)
Fecha de publicación:
30/09/2021
Idioma:
Español
La página especial del controlador ECOA BAS muestra la cuenta de usuario y las contraseñas en texto plano, por lo que unos atacantes no autenticados pueden acceder a la página y alcanzar privilegios con plena funcionalidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/10/2021

Vulnerabilidad en el controlador ECOA BAS (CVE-2021-41299)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS es vulnerable a unas credenciales embebidas en su imagen de distribución de Linux, por lo que los atacantes remotos pueden alcanzar privilegios de administrador sin iniciar sesión
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/10/2021

Vulnerabilidad en el controlador ECOA BAS (CVE-2021-41297)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS es vulnerable a un mecanismo de control de acceso débil permitiendo al usuario autenticado escalar remotamente sus privilegios al divulgar las credenciales de las cuentas administrativas en texto plano
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2021

Vulnerabilidad en el controlador ECOA BAS (CVE-2021-41298)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS es vulnerable a las referencias directas a objetos no seguro que se producen cuando la aplicación proporciona acceso directo a objetos basados en la entrada suministrada por el usuario. Como resultado de esta vulnerabilidad, unos atacantes con privilegio de usuario general pueden omitir la autorización de forma remota y acceder a los recursos ocultos del sistema y ejecutar funcionalidades privilegiadas
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2021

Vulnerabilidad en el controlador ECOA BAS (CVE-2021-41296)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS usa un conjunto débil de credenciales administrativas predeterminadas que pueden ser fácilmente adivinadas en ataques de contraseñas remotas y conseguir el control total del sistema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/10/2021

Vulnerabilidad en el controlador ECOA BAS (CVE-2021-41293)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS sufre una vulnerabilidad de salto de ruta, causando la divulgación de archivos arbitrarios. usando el parámetro POST específico, unos atacantes no autenticados pueden divulgar remotamente archivos arbitrarios en el dispositivo afectado y divulgar información confidencial y del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2021

Vulnerabilidad en el parámetro GET en el controlador ECOA BAS (CVE-2021-41294)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS sufre una vulnerabilidad de salto de ruta, causando el borrado arbitrario de archivos. usando el parámetro GET específico, unos atacantes no autenticados pueden eliminar remotamente archivos arbitrarios en el dispositivo afectado y causar un escenario de denegación de servicio
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/10/2021

Vulnerabilidad en el controlador ECOA BAS (CVE-2021-41295)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS presenta una vulnerabilidad de tipo Cross-Site Request Forgery, por lo que un atacante autenticado puede colocar remotamente una petición falsificada en una página web maliciosa y ejecutar comandos CRUD (GET, POST, PUT, DELETE) para llevar a cabo operaciones arbitrarias en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2021

Vulnerabilidad en el parámetro GET en el controlador ECOA BAS (CVE-2021-41291)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS sufre una vulnerabilidad de divulgación de contenido de salto de ruta. usando el parámetro GET en el Administrador de Archivos, unos atacantes no autenticados pueden divulgar remotamente el contenido del directorio en el dispositivo afectado
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2021

Vulnerabilidad en los parámetros POST en el controlador ECOA BAS (CVE-2021-41290)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS sufre una vulnerabilidad de escritura de archivos arbitraria y de salto de ruta. usando los parámetros POST, unos atacantes no autenticados pueden establecer remotamente valores arbitrarios para la ubicación y el tipo de contenido y conseguir la posibilidad de ejecutar código arbitrario en el dispositivo afectado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/10/2022

Vulnerabilidad en BinaryObjectsHelper en Apache DB DdlUtils (CVE-2021-41616)
Fecha de publicación:
30/09/2021
Idioma:
Español
Apache DB DdlUtils versión 1.0, incluía un BinaryObjectsHelper que estaba pensado para ser usado cuando se migraban datos de bases de datos con un tipo de datos SQL de BINARY, VARBINARY, LONGVARBINARY o BLOB entre bases de datos usando las funciones de ddlutils. La clase BinaryObjectsHelper era no segura y usaba ObjectInputStream.readObject sin comprender que los datos de entrada eran seguros para deserializar. Tenga en cuenta que DdlUtils ya no se está desarrollando activamente. Para solucionar la inseguridad de la clase BinaryObjectHelper, se han realizado los siguientes cambios en DdlUtils: (1) BinaryObjectsHelper.java se ha eliminado del repositorio de fuentes de DdlUtils y, por tanto, la función de DdlUtils de propagar datos de tipos binarios SQL ya no está presente en DdlUtils; (2) La versión ddlutils-1.0 se ha eliminado de la Infraestructura de Distribución de Versiones de Apache; (3) El sitio web de DdlUtils se ha actualizado para indicar que DdlUtils está ahora disponible sólo como código fuente, no como una versión empaquetada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/04/2025
Suscribirse a Vulnerabilidades