Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el puerto 102/tcp en la familia de controladores de accionamiento SIMATIC (CVE-2020-28397)
Fecha de publicación:
10/08/2021
Idioma:
Español
Se ha identificado una vulnerabilidad en la familia de controladores de accionamiento SIMATIC (Todas las versiones anteriores a la versión V2.9.2), SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incluyendo las variantes SIPLUS) (Todas las versiones anteriores a la versión V21.9), SIMATIC S7 PLCSIM Advanced (Todas las versiones posteriores a V2 y anteriores a V4), familia SIMATIC S7-1200 CPU (incluyendo las variantes SIPLUS) (Version V4.4), familia SIMATIC S7-1500 CPU (incl. CPUs ET200 relacionadas y variantes SIPLUS) (Todas las versiones posteriores a V2.5 y anteriores a V2.9.2), SIMATIC S7-1500 Software Controller (Todas las versiones posteriores a V2.5 y anteriores a V21.9), TIM 1531 IRC (incluyendo las variantes SIPLUS NET) (Version V2.1). Debido a una comprobación de autorización incorrecta en el componente afectado, un atacante podría extraer información sobre el acceso a las variables del programa del PLC protegidas a través del puerto 102/tcp de un dispositivo afectado cuando lee varios atributos a la vez
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/12/2021

Vulnerabilidad en ServcieCenter (CVE-2021-21501)
Fecha de publicación:
10/08/2021
Idioma:
Español
Una configuración inapropiada causaría un problema de Salto de Directorio en ServcieCenter versiones 1.x.x y corregido en versión 2.0.0
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en una petición GET en el archivo config.inc.php de rConfig (CVE-2020-23150)
Fecha de publicación:
09/08/2021
Idioma:
Español
Una vulnerabilidad de inyección SQL en el archivo config.inc.php de rConfig versión 3.9.5, permite a atacantes acceder a información confidencial de la base de datos por medio de una petición GET diseñada al archivo install/lib/ajaxHandlers/ajaxDbInstall.php
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2021

Vulnerabilidad en el archivo ajaxDbInstall.php en el parámetro dbName en rConfig (CVE-2020-23149)
Fecha de publicación:
09/08/2021
Idioma:
Español
El parámetro dbName en el archivo ajaxDbInstall.php de rConfig versión 3.9.5, no está saneado, permitiendo a atacantes llevar a cabo una inyección SQL y acceder a información confidencial de la base de datos
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2021

Vulnerabilidad en una petición GET en el archivo lib/ajaxHandlers/ajaxArchiveFiles.php en rConfig (CVE-2020-23151)
Fecha de publicación:
09/08/2021
Idioma:
Español
rConfig versión 3.9.5, permite una inyección de comandos mediante el envío de una petición GET diseñada al archivo lib/ajaxHandlers/ajaxArchiveFiles.php ya que el parámetro path se pasa directamente a la función exec sin ser escapado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/10/2022

Vulnerabilidad en una petición POST en el archivo ldap/login.php en el parámetro userLogin en rConfig (CVE-2020-23148)
Fecha de publicación:
09/08/2021
Idioma:
Español
El parámetro userLogin en el archivo ldap/login.php de rConfig versión 3.9.5, no está saneado, permitiendo a atacantes llevar a cabo una inyección LDAP y obtener información confidencial por medio de una petición POST diseñada
Gravedad CVSS v3.1: ALTA
Última modificación:
26/10/2022

Vulnerabilidad en el servicio Telnet en Contiki (CVE-2021-38311)
Fecha de publicación:
09/08/2021
Idioma:
Español
En Contiki versión 3.0, se presentan posibles bucles de acuse de recibo no terminados en el servicio Telnet. Cuando las opciones negociadas están deshabilitadas, los servidores siguen respondiendo a las peticiones DONT y WONT con comandos WONT o DONT, lo que puede conllevar a bucles de reconocimiento infinitos, denegación de servicio y consumo excesivo de CPU
Gravedad CVSS v3.1: ALTA
Última modificación:
17/08/2021

CVE-2020-24741
Fecha de publicación:
09/08/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2020-0570. Reason: This candidate is a duplicate of CVE-2020-0570. A typo caused the wrong ID to be used. Notes: All CVE users should reference CVE-2020-0570 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en los archivos en la función QPluginLoader en Qt (CVE-2020-24742)
Fecha de publicación:
09/08/2021
Idioma:
Español
Es corregido un problema en Qt versiones 5.14.0, donde la función QPluginLoader intenta cargar plugins relativos al directorio de trabajo, permitiendo a atacantes ejecutar código arbitrario por medio de archivos diseñados
Gravedad CVSS v3.1: ALTA
Última modificación:
19/08/2021

Vulnerabilidad en JupyterLab (CVE-2021-32797)
Fecha de publicación:
09/08/2021
Idioma:
Español
JupyterLab, es una interfaz de usuario para el Proyecto Jupyter que eventualmente reemplazará al clásico Jupyter Notebook. En las versiones afectadas del notebook no confiable puede ejecutar código en la carga. En particular, JupyterLab no sanea el atributo action del html "(form)". Usando esto es posible desencadenar la comprobación del formulario fuera del propio formulario. Esto es una ejecución de código remota , pero requiere la acción del usuario para abrir un notebook
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/04/2022

Vulnerabilidad en el controlador Dell DBUtilDrv2.sys (CVE-2021-36276)
Fecha de publicación:
09/08/2021
Idioma:
Español
El controlador Dell DBUtilDrv2.sys (versiones 2.5 y 2.6) contiene una vulnerabilidad de control de acceso insuficiente que puede conllevar a una escalada de privilegios, una denegación de servicio o una divulgación de información. Es requerido el acceso de un usuario local autenticado
Gravedad CVSS v3.1: ALTA
Última modificación:
25/04/2022

Vulnerabilidad en Dell Command Update, Dell Update y Alienware Update (CVE-2021-36277)
Fecha de publicación:
09/08/2021
Idioma:
Español
Las versiones de Dell Command | Update, Dell Update y Alienware Update anteriores a la 4.3 contienen una vulnerabilidad de verificación inadecuada de la firma criptográfica. Un usuario local malintencionado y autenticado puede explotar esta vulnerabilidad ejecutando código arbitrario en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2023
Suscribirse a Vulnerabilidades