Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la funcionalidad Connect Before Logon de GlobalProtect app de Palo Alto Networks (CVE-2022-0016)
Fecha de publicación:
10/02/2022
Idioma:
Español
Se presenta una vulnerabilidad de manejo inapropiado de condiciones excepcionales en la funcionalidad Connect Before Logon de GlobalProtect app de Palo Alto Networks que permite a un atacante local escalar a privilegios SYSTEM o root cuando es autenticado con Connect Before Logon en determinadas circunstancias. Este problema afecta a GlobalProtect app versiones 5.2 anteriores a 5.2.9 en Windows y MacOS. Este problema no afecta a GlobalProtect app en otras plataformas
Gravedad CVSS v3.1: ALTA
Última modificación:
17/02/2022

Vulnerabilidad en GlobalProtect app de Palo Alto Networks en Windows (CVE-2022-0017)
Fecha de publicación:
10/02/2022
Idioma:
Español
Se presenta una vulnerabilidad de resolución de enlaces inapropiado antes del acceso a archivos ("link following") en GlobalProtect app de Palo Alto Networks en Windows que permite a un atacante local interrumpir los procesos del sistema y ejecutar potencialmente código arbitrario con privilegios SYSTEM en determinadas circunstancias. Este problema afecta: GlobalProtect app versiones 5.1 anteriores a GlobalProtect app 5.1.10 en Windows. GlobalProtect app versiones 5.2 anteriores a GlobalProtect app 5.2.5 en Windows. Este problema no afecta a GlobalProtect app en otras plataformas
Gravedad CVSS v3.1: ALTA
Última modificación:
17/02/2022

Vulnerabilidad en los routers Cisco Small Business RV160, RV260, RV340 y RV345 Series (CVE-2022-20699)
Fecha de publicación:
10/02/2022
Idioma:
Español
Múltiples vulnerabilidades en los routers Cisco Small Business RV160, RV260, RV340 y RV345 Series podrían permitir a un atacante realizar cualquiera de las siguientes acciones Ejecutar código arbitrario. Elevar los privilegios. Ejecutar comandos arbitrarios. Omitir las protecciones de autenticación y autorización. Obtener y ejecutar software no firmado. Causar una denegación de servicio (DoS) Para obtener más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/10/2025

Vulnerabilidad en la interfaz de administración basada en web en Cisco Prime Service Catalog (CVE-2022-20680)
Fecha de publicación:
10/02/2022
Idioma:
Español
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Service Catalog podría permitir a un atacante remoto autenticado acceder a información confidencial en un dispositivo afectado. Esta vulnerabilidad es debido a una aplicación inapropiada de los niveles de privilegio de administrador para los datos confidenciales de bajo valor. Un atacante con acceso de administrador de sólo lectura a la interfaz de administración basada en web podría explotar esta vulnerabilidad mediante el envío de una petición HTTP maliciosa a la página que contiene los datos confidenciales. Una explotación con éxito podría permitir al atacante recopilar información confidencial sobre los usuarios del sistema y los pedidos que han sido realizados usando la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la interfaz web de Palo Alto Network Cortex XSOAR (CVE-2022-0020)
Fecha de publicación:
10/02/2022
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en la interfaz web de Palo Alto Network Cortex XSOAR permite a un atacante autenticado basado en la red almacenar una carga útil de javascript persistente que llevará a cabo acciones arbitrarias en la interfaz web de Cortex XSOAR en nombre de los administradores autenticados que encuentren la carga útil durante las operaciones normales. Este problema afecta: Todas las versiones de Cortex XSOAR 6.1.0; versiones de Cortex XSOAR 6.2.0 anteriores a la versión 1958888
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2023

Vulnerabilidad en el componente high-availability en Stormshield Network Security (SNS) (CVE-2021-3398)
Fecha de publicación:
10/02/2022
Idioma:
Español
Stormshield Network Security (SNS) 3.x, presenta un Desbordamiento de Enteros en el componente high-availability
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2022

Vulnerabilidad en la función value[_filename] en el archivo index.php en ThinkPHP (CVE-2021-44892)
Fecha de publicación:
10/02/2022
Idioma:
Español
Se presenta una vulnerabilidad de ejecución de código remota (RCE) en ThinkPHP versión 3.x.x por medio de la función value[_filename] en el archivo index.php, que podría permitir a un usuario malicioso obtener privilegios de control del servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
23/02/2022

Vulnerabilidad en el envío de una URL específica en la aplicación web de D-Link DIR-X1860 (CVE-2021-41445)
Fecha de publicación:
10/02/2022
Idioma:
Español
Un ataque de tipo cross-site-scripting reflejado en la aplicación web de D-Link DIR-X1860 versiones anteriores a v1.10WB09_Beta, permite a un atacante remoto no autenticado ejecutar código en el dispositivo de la víctima por medio del envío de una URL específica a la víctima no autenticada
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2024

Vulnerabilidad en Stormshield Network Security (SNS) (CVE-2021-37613)
Fecha de publicación:
10/02/2022
Idioma:
Español
Stormshield Network Security (SNS) versiones 1.0.0 hasta 4.2.3, permite una Denegación de Servicio
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/02/2022

Vulnerabilidad en el cliente SN VPN SSL en Stormshield (CVE-2021-31814)
Fecha de publicación:
10/02/2022
Idioma:
Español
En Stormshield versiones 1.1.0, y versiones 2.1.0 hasta 2.9.0, un atacante puede bloquear el acceso de un cliente a la VPN y puede obtener información confidencial mediante el cliente SN VPN SSL
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en Mahara (CVE-2022-24111)
Fecha de publicación:
10/02/2022
Idioma:
Español
En Mahara versiones 21.04 anteriores a 21.04.3 y versiones 21.10 anteriores a 21.10.1, las carteras creadas en grupos que no han sido compartidas con miembros que no son del grupo y las carteras creadas en los niveles de sitio e institución pueden ser visualizadas sin requerir un inicio de sesión si se conoce la URL de estas carteras
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2022

Vulnerabilidad en el formulario de restablecimiento de la contraseña en ServiceNow Orlando (CVE-2021-45901)
Fecha de publicación:
10/02/2022
Idioma:
Español
El formulario de restablecimiento de la contraseña en ServiceNow Orlando proporciona diferentes respuestas a los intentos de autenticación no válidos dependiendo de si el nombre de usuario se presenta
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/02/2022
Suscribirse a Vulnerabilidades