Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el análisis de los archivos TIF en OpenText Brava! Desktop (CVE-2021-31512)
Fecha de publicación:
29/06/2021
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de OpenText Brava! Desktop Build versión 16.6.4.55. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo específico se presenta en el análisis de los archivos TIF. El problema resulta de una falta de comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-13677
Gravedad CVSS v3.1: ALTA
Última modificación:
01/12/2023

Vulnerabilidad en el análisis de los archivos PDF en OpenText Brava! Desktop (CVE-2021-31511)
Fecha de publicación:
29/06/2021
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de OpenText Brava! Desktop Build versión 16.6.4.55. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo específico se presenta en el análisis de los archivos PDF. El problema resulta de una falta de comprobación apropiada de los datos suministrados por el usuario, que puede resultar en una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-13676
Gravedad CVSS v3.1: ALTA
Última modificación:
01/12/2023

Vulnerabilidad en el servicio SSH en Arlo Q Plus (CVE-2021-31505)
Fecha de publicación:
29/06/2021
Idioma:
Español
Esta vulnerabilidad permite a atacantes con acceso físico escalar privilegios en las instalaciones afectadas de Arlo Q Plus versión 1.9.0.3_278. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta en el servicio SSH. El dispositivo puede ser arrancado en un modo de funcionamiento especial en donde credenciales embebidas son aceptadas para la autenticación SSH. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de root. Fue ZDI-CAN-12890
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/07/2021

Vulnerabilidad en una cabecera "X-Forwarded-Host" en Ratpack (CVE-2021-29479)
Fecha de publicación:
29/06/2021
Idioma:
Español
Ratpack es un kit de herramientas para crear aplicaciones web. En versiones anteriores a 1.9.0, una cabecera "X-Forwarded-Host" suministrada por el usuario puede ser usada para llevar a cabo el envenenamiento de la caché de un servidor Ratpack si la clave de la caché no incluye la cabecera "X-Forwarded-Host" como clave de la caché. Unos usuarios sólo son vulnerables si no configuran una instancia personalizada de "PublicAddress". Para versiones anteriores a 1.9.0, por defecto, Ratpack usa una versión inferida de "PublicAddress" que es vulnerable. Esto puede ser usado para llevar a cabo el envenenamiento de la caché de redireccionamiento, donde un atacante puede forzar un redireccionamiento en caché para redirigir a su sitio en lugar de la ubicación de redireccionamiento prevista. La vulnerabilidad fue parcheada en Ratpack versión 1.9.0. Como solución, asegúrese de que "ServerConfigBuilder::publicAddress" configura correctamente el servidor en producción
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2021

Vulnerabilidad en el manejo de un parámetro en ezPDF (CVE-2020-7870)
Fecha de publicación:
29/06/2021
Idioma:
Español
Se presenta una vulnerabilidad de corrupción de memoria cuando ezPDF maneja inapropiadamente el parámetro. Esta vulnerabilidad se presenta debido a una comprobación insuficiente del parámetro
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2022

Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus MSP (CVE-2021-31530)
Fecha de publicación:
29/06/2021
Idioma:
Español
Zoho ManageEngine ServiceDesk Plus MSP versiones anteriores a 10522, es vulnerable a una Divulgación de Información
Gravedad CVSS v3.1: ALTA
Última modificación:
30/05/2025

Vulnerabilidad en Istio (CVE-2021-34824)
Fecha de publicación:
29/06/2021
Idioma:
Español
Istio (versiones 1.8.x, 1.9.0-1.9.5 y 1.10.0-1.10.1) contiene una vulnerabilidad explotable de forma remota en la que se puede acceder a las credenciales especificadas en el campo Gateway y DestinationRule credentialName desde diferentes espacios de nombres
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en la función ShellExecutionExA en helpUS (CVE-2020-7868)
Fecha de publicación:
29/06/2021
Idioma:
Español
Se presenta una vulnerabilidad de ejecución de código remota en helpUS (herramienta de administración remota) debido a una comprobación inapropiada del parámetro de una función ShellExecutionExA usada para iniciar sesión
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2021

Vulnerabilidad en la función "Tight file CMD" en el software ZOOK (CVE-2020-7869)
Fecha de publicación:
29/06/2021
Idioma:
Español
Una vulnerabilidad de comprobación de entrada inapropiada del software ZOOK (herramienta de administración remota) podría permitir a un atacante remoto crear un archivo arbitrario. La visualización ZOOK presenta la función "Tight file CMD" para crear archivos. Un atacante podría crear y ejecutar un archivo arbitrario en el programa agente ZOOK usando "Tight file CMD" sin autoridad
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2021

Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus MSP (CVE-2021-31160)
Fecha de publicación:
29/06/2021
Idioma:
Español
Zoho ManageEngine ServiceDesk Plus MSP versiones anteriores a 10521, permite a un atacante acceder a datos internos
Gravedad CVSS v3.1: ALTA
Última modificación:
30/05/2025

Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus MSP (CVE-2021-31531)
Fecha de publicación:
29/06/2021
Idioma:
Español
Zoho ManageEngine ServiceDesk Plus MSP versiones anteriores a 10521, es vulnerable a ataques de tipo Server-Side Request Forgery (SSRF)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/05/2025

Vulnerabilidad en la comprobación de un parámetro en Cnesty Helpcom (CVE-2020-7871)
Fecha de publicación:
29/06/2021
Idioma:
Español
Una vulnerabilidad de Helpcom podría permitir a un atacante no autenticado ejecutar un comando arbitrario. Esta vulnerabilidad se presenta debido a una comprobación insuficiente del parámetro. Este problema afecta a: Cnesty Helpcom versiones anteriores a 10.0
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2021
Suscribirse a Vulnerabilidades