Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IBM Security Sevret Server (CVE-2020-4609)
Fecha de publicación:
25/06/2021
Idioma:
Español
IBM Security Sevret Server (IBM Security Verify Privilege Manager versión 10.8.2) es vulnerable a un desbordamiento de búfer, causado por una comprobación inapropiada de límites. Un atacante local podría desbordar un búfer y ejecutar código arbitrario en el sistema o causar un bloqueo del sistema. IBM X-Force ID: 184917
Gravedad CVSS v3.1: ALTA
Última modificación:
29/06/2021

Vulnerabilidad en la Interfaz de Usuario Web en IBM Security Verify (CVE-2021-29677)
Fecha de publicación:
25/06/2021
Idioma:
Español
IBM Security Verify (IBM Security Verify Privilege Vault versión 10.9.66) es vulnerable a ataques de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y puede conllevar a potencialmente a una divulgación de credenciales en una sesión confiable
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2021

Vulnerabilidad en un enlace URL en IBM Security Verify (CVE-2021-29676)
Fecha de publicación:
25/06/2021
Idioma:
Español
IBM Security Verify (IBM Security Verify Privilege Vault versión 10.9.66) es vulnerable a una inyección de enlaces. Al persuadir a una víctima de hacer clic en un enlace URL especialmente diseñado, un atacante remoto podría explotar esta vulnerabilidad para llevar a cabo varios ataques contra el sistema vulnerable, incluyendo de tipo cross-site scripting, envenenamiento de la caché o secuestro de la sesión
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/06/2021

Vulnerabilidad en el parámetro de consulta "error" en SDK de Auth0 Next.js (CVE-2021-32702)
Fecha de publicación:
25/06/2021
Idioma:
Español
El SDK de Auth0 Next.js es una biblioteca para implementar la autenticación de usuarios en las aplicaciones Next.js. Las versiones anteriores a la "1.4.1" e incluyéndola, son vulnerables a un ataque de tipo XSS reflejado. Un atacante puede ejecutar código arbitrario al proporcionar una carga útil de tipo XSS en el parámetro de consulta "error" que luego es procesado por el controlador de devolución de llamada como un mensaje de error. Está afectado por esta vulnerabilidad si está usando "@auth0/nextjs-auth0" versión "1.4.1" o inferior **a menos que** esté usando un manejo de errores personalizado que no devuelva el mensaje de error en una respuesta HTML. Actualizar a versión "1.4.1" para solucionarlo. La corrección añade un escape HTML básico al mensaje de error y no debería afectar a sus usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el campo name en PandoraFMS (CVE-2021-35501)
Fecha de publicación:
25/06/2021
Idioma:
Español
PandoraFMS versiones anteriores a 7.54 incluyéndola, permite un ataque de tipo XSS almacenado al colocar una carga útil en el campo name de una consola visual. Cuando un usuario o un administrador visita la consola, la carga útil de tipo XSS será ejecutada
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en el Administrador de Archivos en PandoraFMS (CVE-2021-34074)
Fecha de publicación:
25/06/2021
Idioma:
Español
PandoraFMS versiones anteriores a 7.54 incluyéndola, permite una carga arbitraria de ficheros, conllevando a una ejecución de comandos remota por medio del Administrador de Archivos. Para omitir la protección incorporada, es usada una ruta relativa en las peticiones
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/07/2021

Vulnerabilidad en el archivo /common/logViewer/logViewer.jsf en Oracle GlassFish Server (CVE-2021-3314)
Fecha de publicación:
25/06/2021
Idioma:
Español
** NO COMPATIBLE CUANDO SE ASIGNÓ ** Oracle GlassFish Server versiones 3.1.2.18 y por debajo permite un ataque de tipo XSS en el archivo /common/logViewer/logViewer.jsf. Un usuario malicioso puede causar a un usuario administrador suministrar contenido peligroso a la página vulnerable, que luego es reflejado de regreso al usuario y es ejecutado por el navegador web. El mecanismo más común para suministrar contenido malicioso es incluirlo como parámetro en una URL que es publicado o es enviado por correo electrónico directamente a las víctimas. NOTA: Esta vulnerabilidad sólo afecta a productos que ya no están soportados por el mantenedor
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/08/2024

CVE-2021-34183
Fecha de publicación:
25/06/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el archivo miniaudio.h en la función ma_default_vfs_close__stdio en Miniaudio (CVE-2021-34184)
Fecha de publicación:
25/06/2021
Idioma:
Español
Miniaudio versión 0.10.35, presenta una vulnerabilidad de Doble liberación que podría causar un desbordamiento de búfer en la función ma_default_vfs_close__stdio en el archivo miniaudio.h
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/08/2025

Vulnerabilidad en el archivo miniaudio.h en la función drwav_bytes_to_u32 en Miniaudio (CVE-2021-34185)
Fecha de publicación:
25/06/2021
Idioma:
Español
Miniaudio versión 0.10.35, presenta un desbordamiento de búfer en la región integer de la memoria causado por un desplazamiento a la izquierda fuera de límites en la función drwav_bytes_to_u32 en el archivo miniaudio.h
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2025

Vulnerabilidad en el uso del ID en el procedimiento del sistema (USER_AUTHENTICATE_) en ETINET BACKBOX (CVE-2021-33895)
Fecha de publicación:
25/06/2021
Idioma:
Español
ETINET BACKBOX versiones E4.09 y H4.09 administra inapropiadamente el control de acceso a la contraseña. Cuando un usuario usa el ID de usuario del proceso que ejecuta BBSV para iniciar sesión en la aplicación Backbox UI, el procedimiento del sistema (USER_AUTHENTICATE_) usado para comprobar si la Contraseña devuelve 0 (sin error). La razón es que el usuario no está ejecutando la aplicación XYGate. Por lo tanto, BBSV asume que la contraseña es correcta. Para la versión H4.09, la versión afectada es T0954V04^AAO. Para versión E4.09, la versión afectada es 22SEP2020
Gravedad CVSS v3.1: ALTA
Última modificación:
20/12/2022

Vulnerabilidad en un archivo DWG en Autodesk Autocad (CVE-2021-27040)
Fecha de publicación:
25/06/2021
Idioma:
Español
Un archivo DWG diseñado maliciosamente puede ser forzado a leer más allá de los límites asignados al analizar el archivo DWG. Esta vulnerabilidad puede ser explotada para ejecutar código arbitrario
Gravedad CVSS v3.1: BAJA
Última modificación:
13/05/2022
Suscribirse a Vulnerabilidades