Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un acceso local en el firmware para Intel® Server Board M10JNP2SB (CVE-2020-8734)
Fecha de publicación:
02/02/2021
Idioma:
Español
Una validación de entrada inapropiada en el firmware para Intel® Server Board M10JNP2SB anterior a versión 7.210, puede permitir a un usuario con privilegios habilitar potencialmente una escalada de privilegios por medio de un acceso local
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2021

Vulnerabilidad en el consumidor de WSRP en Digital Experience (CVE-2020-4081)
Fecha de publicación:
02/02/2021
Idioma:
Español
En Digital Experience versiones 8.5, 9.0 y 9.5, el consumidor de WSRP es vulnerable a un ataque de tipo cross-site scripting (XSS)
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/02/2021

Vulnerabilidad en la API de registro del catálogo en Harbour (CVE-2020-29662)
Fecha de publicación:
02/02/2021
Idioma:
Español
En Harbour versiones 2.0 anteriores a 2.0.5 y versiones 2.1.x anteriores a 2.1.2, la API de registro del catálogo está expuesta en una ruta no autenticada
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/02/2021

Vulnerabilidad en el sistema de rastreo GPS Traccar (CVE-2021-21292)
Fecha de publicación:
02/02/2021
Idioma:
Español
Traccar es un sistema de rastreo GPS de código abierto. En Traccar anterior a versión 4.12, se presenta una vulnerabilidad de ruta binaria de Windows sin comillas. Solo las versiones de Windows están afectadas. El atacante necesita acceso de escritura al sistema de archivos en la máquina host. Si la ruta de Java incluye un espacio, entonces el atacante puede elevar su privilegio al mismo que el servicio Traccar (system). Esto se corregido en la versión 4.12
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/02/2021

Vulnerabilidad en filtros de imagen específicos en WhatsApp para Android y WhatsApp Business para Android (CVE-2020-1910)
Fecha de publicación:
02/02/2021
Idioma:
Español
Una falta de comprobación de límites en WhatsApp para Android anterior a la v2.21.1.13 y WhatsApp Business para Android anterior a la versión v2.21.1.13, podría haber permitido la lectura y escritura fuera de límites si un usuario aplicaba filtros de imagen específicos a una imagen especialmente diseñada y enviar la imagen resultante
Gravedad CVSS v3.1: ALTA
Última modificación:
08/02/2021

Vulnerabilidad en HCL Digital Experience (CVE-2020-14221)
Fecha de publicación:
02/02/2021
Idioma:
Español
HCL Digital Experience versiones 8.5, 9.0 y 9.5, expone información sobre el servidor a usuarios no autorizados
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en peticiones en los contenedores de HCL Digital Experience (CVE-2020-14255)
Fecha de publicación:
02/02/2021
Idioma:
Español
Los contenedores de HCL Digital Experience versión 9.5, incluyen vulnerabilidades que podrían exponer datos confidenciales a partes no autorizadas por medio de peticiones diseñadas. Estos afectan solo a los contenedores. Estos no afectan las instalaciones tradicionales on-premise
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021

Vulnerabilidad en el componente TIBCO EBX Web Server de TIBCO EBX de TIBCO Software Inc (CVE-2021-23271)
Fecha de publicación:
02/02/2021
Idioma:
Español
El componente TIBCO EBX Web Server de TIBCO EBX de TIBCO Software Inc, contiene una vulnerabilidad que teóricamente permite a un atacante poco privilegiado con acceso a la red ejecutar un ataque de tipo Cross Site Scripting (XSS) Almacenado en el sistema afectado. Las versiones afectadas son TIBCO EBX de TIBCO Software Inc: versiones 5.9.12 y anteriores
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en aplicaciones en contenedores que confían en las conexiones localhost en Podman (CVE-2021-20199)
Fecha de publicación:
02/02/2021
Idioma:
Español
Los contenedores Rootless se ejecutan con Podman, reciben todo el tráfico con una dirección IP de origen 127.0.0.1 (incluyendo desde hosts remotos). Esto afecta a las aplicaciones en contenedores que confían en las conexiones localhost (127.0.01) por defecto y no requieren autenticación. Este problema afecta a Podman versión 1.8.0 en adelante
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2021

Vulnerabilidad en la funcionalidad whitelist domain en OAuth2 Proxy (CVE-2021-21291)
Fecha de publicación:
02/02/2021
Idioma:
Español
OAuth2 Proxy es un proxy inverso de código abierto y un servidor de archivos estáticos que proporciona autenticación usando Proveedores (Google, GitHub y otros) para comprobar cuentas por correo electrónico, dominio o grupo. En OAuth2 Proxy versiones anteriores a 7.0.0, para los usuarios que usan la funcionalidad whitelist domain, se podría haber permitido como redireccionamiento un dominio que terminara de manera similar al dominio deseado. Por ejemplo, si se configuró un dominio de lista blanca para ".example.com", la intención es que se permitan los subdominios de example.com. En su lugar, "example.com" y "badexample.com" también podrían coincidir. Esto es corregido en versión 7.0.0 en adelante. Como solución alternativa, se puede deshabilitar la funcionalidad whitelist domain y ejecutar instancias de proxy OAuth2 separadas para cada subdominio
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/02/2021

Vulnerabilidad en métodos de varias clases que implícitamente usan el método Kernel.open de Ruby en Mechanize (CVE-2021-21289)
Fecha de publicación:
02/02/2021
Idioma:
Español
Mechanize es una biblioteca de ruby ??de código abierto que facilita la interacción web automatizada. En Mechanize desde versión 2.0.0 y versiones anteriores a 2.7.7, se presenta una vulnerabilidad de inyección de comandos. Las versiones afectadas de mechanize permiten a unos comandos del Sistema Operativo ser inyectados usando métodos de varias clases que implícitamente usan el método Kernel.open de Ruby. Una explotación es posible solo si es usada una entrada que no sea confiable como nombre de archivo local y sea pasada a cualquiera de estas llamadas: Mechanize::CookieJar#load, Mechanize::CookieJar#save_as, Mechanize#download, Mechanize::Download#save, Mechanize::File#save y Mechanize::FileResponse#read_body. Esto es corregido en versión 2.7.7
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en "dotty" (CVE-2021-25912)
Fecha de publicación:
02/02/2021
Idioma:
Español
Una vulnerabilidad de contaminación del prototipo en "dotty" versiones 0.0.1 hasta 0.1.0, permite a atacantes causar una denegación de servicio y puede conllevar a una ejecución de código remota
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023
Suscribirse a Vulnerabilidades