Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el repositorio de GitHub microweber-dev/whmcs_plugin (CVE-2022-0855)
Fecha de publicación:
04/03/2022
Idioma:
Español
Una Resolución Inapropiada de la Equivalencia de Ruta en el repositorio de GitHub microweber-dev/whmcs_plugin versiones anteriores a 0.0.4
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2022

Vulnerabilidad en aplicación (CVE-2021-27757)
Fecha de publicación:
04/03/2022
Idioma:
Español
Un problema de almacenamiento de contraseñas no seguro. La aplicación almacena información confidencial en texto sin cifrar dentro de un recurso que podría ser accesible a otra esfera de control. Dado que la información es almacenada en texto sin cifrar, los atacantes podrían potencialmente leerla y conseguir acceso a información confidencial
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2022

Vulnerabilidad en el código AMD de KVM (CVE-2021-3656)
Fecha de publicación:
04/03/2022
Idioma:
Español
Se ha encontrado un fallo en el código AMD de KVM para soportar la virtualización anidada SVM. El fallo es producido cuando es procesado el VMCB (bloque de control de la máquina virtual) proporcionado por el huésped L1 para generar/manejar un huésped anidado (L2). Debido a que no es comprobado apropiadamente el campo "virt_ext", este problema podría permitir a un L1 malicioso deshabilitar tanto las intercepciones VMLOAD/VMSAVE como el VLS (Virtual VMLOAD/VMSAVE) para el huésped L2. Como resultado, el invitado L2 podría leer/escribir páginas físicas del anfitrión, resultando en un bloqueo de todo el sistema, un filtrado de datos confidenciales o un potencial escape del invitado al anfitrión
Gravedad CVSS v3.1: ALTA
Última modificación:
19/01/2023

Vulnerabilidad en el código del cliente HTTP de python (CVE-2021-3737)
Fecha de publicación:
04/03/2022
Idioma:
Español
Se ha encontrado un fallo en python. Una respuesta HTTP manejada inapropiadamente en el código del cliente HTTP de python puede permitir a un atacante remoto, que controle el servidor HTTP, hacer que el script del cliente entre en un bucle infinito, consumiendo tiempo de CPU. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
17/12/2025

Vulnerabilidad en StorageGRID (CVE-2022-23233)
Fecha de publicación:
04/03/2022
Idioma:
Español
StorageGRID (anteriormente conocido como StorageGRID Webscale) versiones anteriores a 11.6.0, son susceptibles a una vulnerabilidad que, cuando es explotada con éxito, podría conllevar a una denegación de servicio (DoS) del servicio del router de distribución local (LDR)
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2022

Vulnerabilidad en una imagen de instalación gzip en coreos-installer (CVE-2021-20319)
Fecha de publicación:
04/03/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad de verificación de firma inapropiada en coreos-installer. Una imagen de instalación gzip especialmente diseñada puede omitir la verificación de la firma de la imagen y, como consecuencia, puede conllevar a una instalación de contenido no firmado. Un atacante capaz de modificar la imagen de instalación original puede escribir datos arbitrarios y conseguir acceso completo al nodo que se está instalando
Gravedad CVSS v3.1: ALTA
Última modificación:
11/03/2022

Vulnerabilidad en el archivo fs/ext4/extents.c en la función ext4_es_cache_extent en el kernel de Linux (CVE-2021-3428)
Fecha de publicación:
04/03/2022
Idioma:
Español
Se ha encontrado un fallo en el kernel de Linux. Es identificado un problema de denegación de servicio si es corrompido un árbol de extensiones en un sistema de archivos ext4 diseñado en el archivo fs/ext4/extents.c en la función ext4_es_cache_extent. Fabricando un desbordamiento de enteros, un atacante local con un privilegio de usuario especial puede causar un problema de bloqueo del sistema que puede conllevar a una amenaza de disponibilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/03/2022

Vulnerabilidad en StorageGRID (CVE-2022-23232)
Fecha de publicación:
04/03/2022
Idioma:
Español
StorageGRID (anteriormente conocido como StorageGRID Webscale) versiones anteriores a 11.6.0, son susceptibles a una vulnerabilidad que, cuando es explotada con éxito, podría permitir que las cuentas de usuarios externos deshabilitadas, caducadas o bloqueadas accedan a los datos de S3 a los que presentaban acceso anteriormente. StorageGRID versión 11.6.0 obtiene el estado de la cuenta de usuario desde Active Directory o Azure y bloqueará el acceso a S3 de las cuentas de usuario deshabilitadas durante la posterior sincronización en segundo plano. Las cuentas de usuario caducadas o bloqueadas para Active Directory o Azure, o las cuentas de usuario deshabilitadas, caducadas o bloqueadas en fuentes de identidad distintas de Active Directory o Azure deben eliminarse manualmente de las membresías de grupo o eliminarse manualmente sus claves de S3 desde Tenant Manager en todas las versiones de StorageGRID (antes StorageGRID Webscale)
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en color.c:379:42 en sycc420_to_rgb en openjpeg (CVE-2021-3575)
Fecha de publicación:
04/03/2022
Idioma:
Español
Se encontró un desbordamiento de búfer en la región heap de la memoria en openjpeg en color.c:379:42 en sycc420_to_rgb cuando es descomprimido un archivo .j2k diseñado. Un atacante podría usar esto para ejecutar código arbitrario con los permisos de la aplicación compilada contra openjpeg
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en los dispositivos WatchGuard Firebox y XTM (CVE-2022-26318)
Fecha de publicación:
04/03/2022
Idioma:
Español
En los dispositivos WatchGuard Firebox y XTM, un usuario no autenticado puede ejecutar código arbitrario, también conocido como FBX-22786. Esta vulnerabilidad afecta a Fireware OS antes de 12.7.2_U2, 12.x antes de 12.1.3_U8, y 12.2.x hasta 12.5.x antes de 12.5.9_U2
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/11/2025

Vulnerabilidad en el archivo OpenEXR/IlmImf/ImfHuf.cpp en la funcionalidad hufUncompress de OpenEXR (CVE-2021-20300)
Fecha de publicación:
04/03/2022
Idioma:
Español
Se ha encontrado un fallo en la funcionalidad hufUncompress de OpenEXR en el archivo OpenEXR/IlmImf/ImfHuf.cpp. Este fallo permite a un atacante que pueda enviar un archivo diseñado que sea procesado por OpenEXR, para desencadenar un desbordamiento de enteros. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2022

Vulnerabilidad en la funcionalidad TiledInputFile de OpenEXR (CVE-2021-20302)
Fecha de publicación:
04/03/2022
Idioma:
Español
Se ha encontrado un fallo en la funcionalidad TiledInputFile de OpenEXR. Este fallo permite a un atacante que pueda enviar una imagen no diseñada de una sola parte para que sea procesada por OpenEXR, para desencadenar un error de excepción de punto flotante. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2022
Suscribirse a Vulnerabilidades