Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el envío de un paquete al servicio controller_server en el puerto 9999 en los parámetros de la operación 32 del servicio controller_server en los routers Gryphon Tower (CVE-2021-20141)
Fecha de publicación:
09/12/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección de comandos no autenticada en los parámetros de la operación 32 del servicio controller_server en los routers Gryphon Tower. Un atacante remoto no autenticado en la misma red puede ejecutar comandos como root en el dispositivo mediante el envío de un paquete malicioso especialmente diseñado al servicio controller_server en el puerto 9999
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2021

Vulnerabilidad en el envío de un paquete al servicio controller_server en el puerto 9999 en los parámetros de la operación 41 del servicio controller_server en los routers Gryphon Tower (CVE-2021-20142)
Fecha de publicación:
09/12/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección de comandos no autenticada en los parámetros de la operación 41 del servicio controller_server en los routers Gryphon Tower. Un atacante remoto no autenticado en la misma red puede ejecutar comandos como root en el dispositivo mediante el envío de un paquete malicioso especialmente diseñado al servicio controller_server en el puerto 9999
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2021

Vulnerabilidad en un paquete HTTP en las interfaces web de los routers Netgear RAX35, RAX38 y RAX40 (CVE-2021-41449)
Fecha de publicación:
09/12/2021
Idioma:
Español
Un ataque de salto de ruta en las interfaces web de los routers Netgear RAX35, RAX38 y RAX40 versiones anteriores a v1.0.4.102, permite a un atacante remoto no autenticado conseguir acceso a información confidencial restringida, como archivos prohibidos de la aplicación web, por medio del envío de un paquete HTTP especialmente diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
13/12/2021

Vulnerabilidad en el Servidor de Notificaciones de Exposición (CVE-2021-22565)
Fecha de publicación:
09/12/2021
Idioma:
Español
Un atacante podría hacer expirar prematuramente un código de verificación, haciéndolo inusable por el paciente, haciendo que éste no pueda cargar sus TEKs para generar notificaciones de exposición. Se recomienda actualizar el Servidor de Notificaciones de Exposición a la versión 1.1.2 o superior
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2022

Vulnerabilidad en wbce_cms (CVE-2021-3817)
Fecha de publicación:
09/12/2021
Idioma:
Español
wbce_cms es vulnerable a una Neutralización Inadecuada de Elementos Especiales usados en un Comando SQL
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/01/2022

Vulnerabilidad en la modificación del parámetro session-id en FortiClient Windows (CVE-2021-36167)
Fecha de publicación:
09/12/2021
Idioma:
Español
Una vulnerabilidad de autorización inapropiada [CWE-285] en FortiClient Windows versiones 7.0.0 y 6.4.6 y anteriores y 6.2.8 y anteriores, puede permitir a un atacante no autenticado omitir el control del filtro web por medio de la modificación del parámetro session-id
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en un portal de acceso RADIUS en Fortinet FortiAuthenticator (CVE-2021-43068)
Fecha de publicación:
09/12/2021
Idioma:
Español
Una autenticación inapropiada en Fortinet FortiAuthenticator versión 6.4.0, permite al usuario omitir el segundo factor de autenticación por medio de un portal de acceso RADIUS
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2021

Vulnerabilidad en peticiones HTTP al controlador de la API LogReport en Fortinet FortiWeb (CVE-2021-43071)
Fecha de publicación:
09/12/2021
Idioma:
Español
Un desbordamiento del búfer en la región heap de la memoria en Fortinet FortiWeb versión 6.4.1 y 6.4.0, versión 6.3.15 y anteriores, versión 6.2.6 y anteriores, permite a un atacante ejecutar código o comandos no autorizados por medio de peticiones HTTP diseñadas al controlador de la API LogReport
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2021

Vulnerabilidad en los comandos cli en Fortinet Meru AP (CVE-2021-42759)
Fecha de publicación:
09/12/2021
Idioma:
Español
Una violación de los principios de diseño seguro en Fortinet Meru AP versión 8.6.1 y anteriores, versión 8.5.5 y anteriores, permite al atacante ejecutar código o comandos no autorizados por medio de comandos cli diseñados
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2021

Vulnerabilidad en Fortinet FortiNAC (CVE-2021-43065)
Fecha de publicación:
09/12/2021
Idioma:
Español
Una asignación incorrecta de permisos para recursos críticos en Fortinet FortiNAC versión 9.2.0, versión 9.1.3 y anteriores, versión 8.8.9 y anteriores, permite al atacante conseguir mayores privilegios por medio del acceso a datos confidenciales del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
28/07/2022

Vulnerabilidad en los controladores de la API de FortiWeb (CVE-2021-36194)
Fecha de publicación:
09/12/2021
Idioma:
Español
Múltiples desbordamientos de búfer en la región stack de la memoria en los controladores de la API de FortiWeb versiones 6.4.1, 6.4.0 y 6.3.0 hasta 6.3.15, pueden permitir a un atacante autenticado lograr la ejecución de código arbitrario por medio de peticiones especialmente diseñadas
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2021

Vulnerabilidad en cambios en los permisos de acceso al directorio en Fortinet FortiClientWindows (CVE-2021-43204)
Fecha de publicación:
09/12/2021
Idioma:
Español
Un control inapropiado de un recurso a lo largo de su vida en Fortinet FortiClientWindows versión 6.4.1 y 6.4.0, versión 6.2.9 y anteriores, versión 6.0.10 y anteriores, permite a un atacante causar una denegación de servicio completa de sus componentes por medio de cambios en los permisos de acceso al directorio
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/12/2021
Suscribirse a Vulnerabilidades