Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el campo username en Sourcecodester Budget and Expense Tracker System (CVE-2021-40247)
Fecha de publicación:
21/01/2022
Idioma:
Español
Una vulnerabilidad de inyección SQL en Sourcecodester Budget and Expense Tracker System versión v1 por oretnom23, permite a atacantes ejecutar comandos SQL arbitrarios por medio del campo username
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/02/2024

Vulnerabilidad en el parámetro username en el archivo /admin/login.php en el sitio web Simple College (CVE-2021-44593)
Fecha de publicación:
21/01/2022
Idioma:
Español
El sitio web Simple College versión 1.0, es vulnerable a una carga de archivos no autenticados y a una ejecución de código remota por medio de una inyección SQL basada en UNION en el parámetro username en el archivo /admin/login.php
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2022

Vulnerabilidad en Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) (CVE-2021-43355)
Fecha de publicación:
21/01/2022
Idioma:
Español
Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) versión 2.0.1.3, permite que la entrada del usuario sea comprobada en el lado del cliente sin autenticación por parte del servidor. El servidor no debe confiar en la corrección de los datos, ya que los usuarios podrían no admitir o bloquear JavaScript o omitir intencionadamente las comprobaciones del lado del cliente. Un atacante con conocimiento del usuario del servicio podría omitir el control del lado del cliente e iniciar sesión con privilegios del servicio
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/08/2022

Vulnerabilidad en el archivo kernel/bpf/syscall.c en el verificador ebpf del kernel de Linux (CVE-2021-4001)
Fecha de publicación:
21/01/2022
Idioma:
Español
Se ha encontrado una condición de carrera en el verificador ebpf del kernel de Linux entre las funciones bpf_map_update_elem y bpf_map_freeze debido a la falta de un bloqueo en el archivo kernel/bpf/syscall.c. En este fallo, un usuario local con un privilegio especial (cap_sys_admin o cap_bpf) puede modificar el espacio de direcciones mapeado congelado. Este fallo afecta a las versiones del kernel anteriores a 5.16 rc2
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2022

Vulnerabilidad en Fresenius Kabi Agilia Link+ (CVE-2021-23233)
Fecha de publicación:
21/01/2022
Idioma:
Español
Puede accederse a los endpoints confidenciales de Fresenius Kabi Agilia Link+ versiones v3.0 y anteriores sin ninguna información de autenticación, como la cookie de sesión. Un atacante puede enviar peticiones a los endpoints confidenciales como un usuario no autenticado para llevar a cabo acciones críticas o modificar parámetros de configuración críticos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/01/2022

Vulnerabilidad en la configuración SSL/TLS de Fresenius Kabi Agilia Link + (CVE-2021-31562)
Fecha de publicación:
21/01/2022
Idioma:
Español
La configuración SSL/TLS de Fresenius Kabi Agilia Link + versión 3.0, presenta graves deficiencias que pueden permitir a un atacante comprometer las sesiones SSL/TLS de diferentes maneras. Un atacante puede ser capaz de espiar los datos transferidos, manipular los datos supuestamente asegurados por SSL/TLS, y hacerse pasar por una entidad para conseguir acceso a información sensible
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/01/2022

Vulnerabilidad en Fresenius Kabi Agilia Link+ (CVE-2021-23236)
Fecha de publicación:
21/01/2022
Idioma:
Español
Las peticiones pueden ser usadas para interrumpir el funcionamiento normal del dispositivo. Cuando es explotado, Fresenius Kabi Agilia Link+ versión 3.0, debe reiniciarse por medio de un hard reset que es desencadenado al pulsar un botón en el sistema de rack
Gravedad CVSS v3.1: ALTA
Última modificación:
28/01/2022

Vulnerabilidad en Fresenius Kabi Agilia Link + (CVE-2021-33843)
Fecha de publicación:
21/01/2022
Idioma:
Español
Fresenius Kabi Agilia SP MC WiFi vD25 y anteriores tiene una página de configuración por defecto accesible sin autenticación. Un atacante puede utilizar esta funcionalidad para cambiar los valores de configuración expuestos, como los ajustes de red
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/10/2022

Vulnerabilidad en la aplicación Fresenius Kabi Vigilant MasterMed (CVE-2021-23207)
Fecha de publicación:
21/01/2022
Idioma:
Español
Un atacante con acceso físico al host puede extraer los secretos del registro y crear tokens JWT válidos para la aplicación Fresenius Kabi Vigilant MasterMed versión 2.0.1.3, y suplantar a usuarios arbitrarios. Un atacante podría manipular las colas y mensajes de RabbitMQ al suplantar a usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/08/2022

Vulnerabilidad en la aplicación web en Agilia Link+ (CVE-2021-23196)
Fecha de publicación:
21/01/2022
Idioma:
Español
La aplicación web en Agilia Link+ versión 3.0 implementa los mecanismos de autenticación y gestión de sesiones exclusivamente en el lado del cliente y no protege suficientemente los atributos de autenticación
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/08/2022

Vulnerabilidad en Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) (CVE-2021-23195)
Fecha de publicación:
21/01/2022
Idioma:
Español
Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) versión 2.0.1.3, presenta habilitada la opción de indexación automática (listado de directorios). Cuando es accedido a un directorio, el servidor web entrega todo su contenido en forma de HTML. Si no presenta un archivo de índice y el listado de directorios está habilitado, será mostrado todo el contenido del directorio, lo que permitirá a un atacante identificar y acceder a los archivos del servidor
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2022

Vulnerabilidad en IBM Cognos Controller (CVE-2020-4875)
Fecha de publicación:
21/01/2022
Idioma:
Español
IBM Cognos Controller versiones 10.4.0, 10.4.1 y 10.4.2, son vulnerables a un ataque de tipo XML External Entity Injection (XXE) cuando son procesados datos XML. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. IBM X-Force ID: 190838
Gravedad CVSS v3.1: ALTA
Última modificación:
27/01/2022
Suscribirse a Vulnerabilidades