Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el envío de una INVITE inicial en PJSIP (CVE-2021-21375)

Fecha de publicación:
10/03/2021
Idioma:
Español
PJSIP es una biblioteca de comunicación multimedia de código abierto y gratuita escrita en lenguaje C que implementa protocolos basados ??en estándares como SIP, SDP, RTP, STUN, TURN e ICE. En PJSIP versiones 2.10 y anteriores, después de que se haya enviado una INVITE inicial, cuando son recibidas dos respuestas 183, con la primera causando un fallo en la negociación, y se producirá un bloqueo. Esto resulta en una denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/10/2022

Vulnerabilidad en el método yaml.load() en Tenable para Jira Cloud (CVE-2021-21371)

Fecha de publicación:
10/03/2021
Idioma:
Español
Tenable para Jira Cloud es un proyecto de código abierto diseñado para extraer datos de vulnerabilidad de Tenable.io y luego generar Tareas y subtareas de Jira en función del estado actual de las vulnerabilidades. Se publicó en pypi como "tenable-jira-cloud". En tenable-jira-cloud versiones anteriores a 1.1.21, es posible ejecutar comandos arbitrarios por medio del método yaml.load(). Esto podría permitir a un atacante con acceso local al host ejecutar código arbitrario ejecutando la aplicación con un archivo de configuración YAML especialmente diseñado. Esto se corrige en la versión 1.1.21 usando la función yaml.safe_load() en lugar de la función yaml.load()
Gravedad CVSS v3.1: ALTA
Última modificación:
18/03/2021

Vulnerabilidad en la implementación de CRI en containerd (CVE-2021-21334)

Fecha de publicación:
10/03/2021
Idioma:
Español
En containerd (un tiempo de ejecución de contenedor estándar de la industria) anteriores a versiones 1.3.10 y 1.4.4, los contenedores se iniciaron por medio de la implementación de CRI de containerd (por medio de Kubernetes, crictl o cualquier otro cliente de pod/container que use el servicio CRI de containerd) que comparten la misma imagen, puede recibir variables de entorno incorrectas, incluyendo los valores definidos para otros contenedores. Si los contenedores afectados presentan diferentes contextos de seguridad, esto puede permitir que información confidencial sea compartida sin intención. Si no está utilizando la implementación de CRI de containerd (por medio de uno de los mecanismos descritos anteriormente), no es vulnerable a este problema. Si no está iniciando varios contenedores o pods de Kubernetes desde la misma imagen que tienen diferentes variables de entorno, no es vulnerable a este problema. Si no está iniciando varios contenedores o pods de Kubernetes desde la misma imagen en rápida sucesión, presenta menos probabilidades de ser vulnerable a este problema. Esta vulnerabilidad ha sido corregida en containerd versión 1.3.10 y containerd versión 1.4.4. Los usuarios deben actualizar a estas versiones
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en los servidores en Laravel PHP Framework en October (CVE-2021-21265)

Fecha de publicación:
10/03/2021
Idioma:
Español
October es una plataforma CMS gratuita, de código abierto y autoinvitada basada en Laravel PHP Framework. En October versiones anteriores a 1.1.2, cuando se ejecuta en servidores mal configurados (es decir, el servidor enruta cualquier petición, independientemente del encabezado HOST hacia una instancia CMS de october), se presenta la posibilidad de que los ataques de Envenenamiento del Encabezado de host tengan éxito. Esto ha sido solucionado en la versión 1.1.2, al agregar una función para permitir que se especifique un conjunto de hosts confiables en la aplicación. Como solución alternativa, puede establecerse el ajuste de configuración cms.linkPolicy para forzar
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/05/2025

Vulnerabilidad en el parámetro checkList en el panel de administración web en los dispositivos NETGEAR JGS516PE/GS116E (CVE-2020-35227)

Fecha de publicación:
10/03/2021
Idioma:
Español
Una vulnerabilidad de desbordamiento del búfer en la sección de control de acceso de los dispositivos NETGEAR JGS516PE/GS116Ev2 versión v2.6.0.43, (en el panel de administración web) permite a un atacante inyectar direcciones IP en la lista blanca por medio del parámetro checkList para el comando de eliminación
Gravedad CVSS v3.1: ALTA
Última modificación:
15/03/2021

Vulnerabilidad en el envío conexiones simultáneas en el servidor TFTP en los dispositivos NETGEAR JGS516PE/GS116Ev2 (CVE-2020-35233)

Fecha de publicación:
10/03/2021
Idioma:
Español
El servidor TFTP no puede manejar múltiples conexiones en dispositivos NETGEAR JGS516PE/GS116Ev2 versión v2.6.0.43 y permite a atacantes externos forzar el reinicio del dispositivo mediante el envío conexiones simultáneas, también se conoce como un ataque de denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2021

CVE-2020-35232

Fecha de publicación:
10/03/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2020-35782. Reason: This candidate is a reservation duplicate of CVE-2020-35782. Notes: All CVE users should reference CVE-2020-35782 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el protocolo NSDP en dispositivos NETGEAR JGS516PE/GS116Ev2 (CVE-2020-35231)

Fecha de publicación:
10/03/2021
Idioma:
Español
La implementación del protocolo NSDP en dispositivos NETGEAR JGS516PE/GS116Ev2 v2.6.0.43, está afectada por un problema de autenticación que permite a un atacante omitir los controles de acceso y obtener el control total del dispositivo
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2021

Vulnerabilidad en el parámetro language en el panel de administración web de los dispositivos NETGEAR JGS516PE/GS116Ev2 (CVE-2020-35228)

Fecha de publicación:
10/03/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en el panel de administración web de los dispositivos NETGEAR JGS516PE/GS116Ev2 versión v2.6.0.43, permite a atacantes remotos inyectar código web arbitrario o HTML por medio del parámetro language
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2021

Vulnerabilidad en el panel de administración web de los dispositivos NETGEAR JGS516PE/GS116Ev2 (CVE-2020-35230)

Fecha de publicación:
10/03/2021
Idioma:
Español
Se encontraron varios parámetros de desbordamiento de enteros en el panel de administración web de los dispositivos NETGEAR JGS516PE/GS116Ev2 versión v2.6.0.43. La mayoría de los parámetros enteros enviados por medio del servidor web pueden ser abusados para causar un ataque de denegación de servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/03/2021

Vulnerabilidad en el token de autenticación en peticiones de escritura NSDP en los dispositivos NETGEAR JGS516PE/GS116Ev2 (CVE-2020-35229)

Fecha de publicación:
10/03/2021
Idioma:
Español
El token de autenticación requerido para ejecutar peticiones de escritura NSDP en dispositivos NETGEAR JGS516PE/GS116Ev2 versión v2.6.0.43, no era apropiadamente comprobado y puede ser reutilizado hasta que un nuevo token es generado, lo cual permite a atacantes (con acceso al tráfico de red) conseguir efectivamente privilegios administrativos
Gravedad CVSS v3.1: ALTA
Última modificación:
17/03/2021

Vulnerabilidad en el comando de petición de escritura en la configuración DHCP en los dispositivos NETGEAR JGS516PE/GS116Ev2 (CVE-2020-35226)

Fecha de publicación:
10/03/2021
Idioma:
Español
Los dispositivos NETGEAR JGS516PE/GS116Ev2 versión v2.6.0.43, permiten a usuarios no autenticados modificar la configuración DHCP del switch mediante el envío del comando de petición de escritura correspondiente
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2021