Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2006-0849

Fecha de publicación:
21/06/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2006-1053

Fecha de publicación:
21/06/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2007-1857

Fecha de publicación:
21/06/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en un enlace gist en Increments Qiita::Markdown (CVE-2021-28833)

Fecha de publicación:
21/06/2021
Idioma:
Español
Increments Qiita::Markdown versiones anteriores a 0.34.0, permite una vulnerabilidad de tipo XSS por medio de un enlace gist diseñado, una vulnerabilidad diferente de CVE-2021-28796
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2021

CVE-2020-7031

Fecha de publicación:
21/06/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en la red en el analizador XML en ConeXware PowerArchiver (CVE-2021-28684)

Fecha de publicación:
21/06/2021
Idioma:
Español
El analizador XML usado en ConeXware PowerArchiver versiones anteriores a 20.10.02, permite el procesamiento de entidades externas, lo que podría conllevar a la exfiltración de archivos locales a través de la red (por medio de un ataque de tipo XXE)
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/06/2021

CVE-2019-7002

Fecha de publicación:
21/06/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en una llamada IOCTL 0x9c406104 en un archivo MODAPI.sys en la funcionalidad MmMapIoSpace en MSI Dragon Center (CVE-2021-29337)

Fecha de publicación:
21/06/2021
Idioma:
Español
Un archivo MODAPI.sys en MSI Dragon Center versión 2.0.104.0, permite a usuarios poco privilegiados acceder a la memoria del kernel y potencialmente escalar privilegios por medio de una llamada IOCTL 0x9c406104 diseñada. Esta IOCTL proporciona la funcionalidad MmMapIoSpace para mapear la memoria física
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el análisis paquetes y archivos en el componente FSAVD en F-Secure Linux Security (CVE-2021-33572)

Fecha de publicación:
21/06/2021
Idioma:
Español
Se ha detectado una vulnerabilidad de Denegación de Servicio (DoS) en F-Secure Linux Security por la que el componente FSAVD usado en determinados productos de F-Secure puede bloquearse mientras se analizan paquetes y archivos de gran tamaño. La explotación puede ser desencadenada remotamente por un atacante. Un ataque con éxito resultará en una Denegación de Servicio (DoS) del motor antivirus
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2021

Vulnerabilidad en el componente Task Scheduler en os datos de la sesión administrativa en el directorio %PROGRAMFILES%\MyQ\PHP\Sessions en MyQ Server en MyQ X Smart (CVE-2021-31769)

Fecha de publicación:
21/06/2021
Idioma:
Español
MyQ Server en MyQ X Smart versiones anteriores a 8.2, permite una ejecución de código remota por parte de usuarios no privilegiados porque los datos de la sesión administrativa pueden ser leídos en el directorio %PROGRAMFILES%\MyQ\PHP\Sessions. La funcionalidad "Select server file" está destinada únicamente a administradores, pero en realidad no requiere autorización. Un atacante puede inyectar comandos arbitrarios del Sistema Operativo (como comandos para crear nuevos archivos .php) por medio del componente Task Scheduler
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2021

Vulnerabilidad en la ruta física del sitio web en White Shark System (WSS) (CVE-2020-20470)

Fecha de publicación:
21/06/2021
Idioma:
Español
White Shark System (WSS) versión 1.3.2, presenta una vulnerabilidad en la ruta física del sitio web
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/09/2022

Vulnerabilidad en el archivo default_task_edituser.php en el parámetro csa_to_user en White Shark System (WSS) (CVE-2020-20474)

Fecha de publicación:
21/06/2021
Idioma:
Español
White Shark System (WSS) versión 1.3.2, presenta una vulnerabilidad de inyección SQL. La vulnerabilidad es debido a que los archivos default_task_edituser.php presentan un fallo en filtrar el parámetro csa_to_user. Unos atacantes remotos pueden explotar la vulnerabilidad para obtener información confidencial de la base de datos
Gravedad CVSS v3.1: ALTA
Última modificación:
23/06/2021