Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2021-28421
Fecha de publicación:
13/04/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2021-21417. Reason: This candidate is a duplicate of CVE-2021-21417. Notes: All CVE users should reference CVE-2021-21417 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en Micro Focus Operations Agent (CVE-2021-22505)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de escalada de privilegios en Micro Focus Operations Agent afecta a versiones 12.0x, 12.10, 12.11, 12.12, 12.14 y 12.15. La vulnerabilidad podría ser explotada para escalar privilegios y ejecutar código bajo la cuenta del Operations Agent
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Trend Micro Password Manager (CVE-2021-28647)
Fecha de publicación:
13/04/2021
Idioma:
Español
Trend Micro Password Manager versión 5 (Consumer) es vulnerable a una vulnerabilidad de secuestro DLL que podría permitir a un atacante inyectar un archivo DLL malicioso durante el progreso de la instalación y podría ejecutar un programa malicioso cada vez que un usuario instala un programa
Gravedad CVSS v3.1: ALTA
Última modificación:
14/04/2021

Vulnerabilidad en asignación de permisos en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1 (CVE-2021-28645)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de asignación de permisos incorrecta en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1, podría permitir a un atacante local escalar los privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
14/04/2021

Vulnerabilidad en archivo de registro en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1 (CVE-2021-28646)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de permisos de archivo no segura en Trend Micro Apex One, Apex One as a Service and OfficeScan XG SP1, podría permitir a un atacante local tomar el control de un archivo de registro específico en las instalaciones afectadas
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/04/2021

Vulnerabilidad en un archivo confidencial en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1 (CVE-2021-25250)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de control de acceso inapropiado en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1, en un archivo confidencial podría permitir a un atacante local escalar los privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1 (CVE-2021-25253)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de control de acceso inapropiado en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1, en un recurso usado por el servicio podría permitir a un atacante local escalar privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en el archivo security.json en la función SaslZkACLProvider o VMParamsAllAndReadonlyDigestZkACLProvider en Apache Solr (CVE-2021-29262)
Fecha de publicación:
13/04/2021
Idioma:
Español
Cuando se inicia Apache Solr versiones anteriores a 8.8.2, configuradas con la función SaslZkACLProvider o VMParamsAllAndReadonlyDigestZkACLProvider y ningún znode security.json existente, si el usuario de solo lectura opcional está configurado, Solr no trataría ese nodo como una ruta confidencial y le permitiría ser legible. Además, con cualquier ZkACLProvider, si el archivo security.json ya está presente, Solr no actualizará automáticamente las ACL
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la función ReplicationHandler en un parámetro "masterUrl" en Apache Solr (CVE-2021-27905)
Fecha de publicación:
13/04/2021
Idioma:
Español
La función ReplicationHandler (normalmente registrado en "/replication" bajo un core Solr) en Apache Solr presenta un parámetro "masterUrl" (también se conoce como "leaderUrl") que es usada para designar otro ReplicationHandler en otro core Solr para replicar datos de índice en el core local . Para impedir una vulnerabilidad de SSRF, Solr debería comparar estos parámetros con una configuración similar que usa para el parámetro "shards". Antes de que fuera corregido este bug, no era así. Este problema afecta esencialmente a todas las versiones de Solr anteriores a que fuese corregido en la versión 8.8.2
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en el método FileNameUtils.normalize en Apache Commons IO (CVE-2021-29425)
Fecha de publicación:
13/04/2021
Idioma:
Español
En Apache Commons IO versiones anteriores a 2.7, Cuando se invoca el método FileNameUtils.normalize con una cadena de entrada inapropiada, como "//../foo" o "\\..\ foo", el resultado sería el mismo valor, por lo que posiblemente proporcionar acceso a archivos en el directorio principal, pero no más arriba (por lo tanto, salto de ruta "limited"), si el código de llamada usara el resultado para construir un valor de ruta
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la función ConfigurableInternodeAuthHadoopPlugin en Apache Solr (CVE-2021-29943)
Fecha de publicación:
13/04/2021
Idioma:
Español
Cuando se usa la función ConfigurableInternodeAuthHadoopPlugin para la autenticación, Apache Solr versiones anteriores a versión 8.8.2 reenviaría y realizaría proxy de unas peticiones distribuidas usando unas credenciales del servidor en lugar de las credenciales originales del cliente. Esto podría resultar en una resolución de autorización incorrecta en los hosts receptores
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/06/2021

Vulnerabilidad en la interfaz de administración en Papoo CMS Light y Papoo CMS Pro (CVE-2021-29054)
Fecha de publicación:
13/04/2021
Idioma:
Español
Determinados productos de Papoo están afectados por: Cross Site Request Forgery (CSRF) en la interfaz de administración. Esto afecta a Papoo CMS Light versiones hasta 21.02 y Papoo CMS Pro versiones hasta 6.0.1. El impacto es: alcanzar privilegios (remoto)
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021
Suscribirse a Vulnerabilidades