Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el componente /admin/index.php/template/edit en HongCMS (CVE-2020-21431)
Fecha de publicación:
04/10/2021
Idioma:
Español
HongCMS versión v3.0, contiene una vulnerabilidad de lectura y escritura de archivos arbitrarios en el componente /admin/index.php/template/edit
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2021

Vulnerabilidad en el componente route\user.php de Xiuno BBS (CVE-2020-21493)
Fecha de publicación:
04/10/2021
Idioma:
Español
Un problema en el componente route\user.php de Xiuno BBS versión v4.0.4, permite a atacantes enumerar nombres de usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2021

Vulnerabilidad en el parámetro sitebrief en el componente /admin/?setting-base.htm de Xiuno BBS (CVE-2020-21496)
Fecha de publicación:
04/10/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en el componente /admin/?setting-base.htm de Xiuno BBS versión 4.0.4, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio del parámetro sitebrief
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2021

Vulnerabilidad en el cambio del valor doctype a 0 en el componente install\install.sql de Xiuno BBS (CVE-2020-21494)
Fecha de publicación:
04/10/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en el componente install\install.sql de Xiuno BBS versión 4.0.4, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio del cambio del valor doctype a 0
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2021

Vulnerabilidad en el parámetro sitename en el componente /admin/?setting-base.htm de Xiuno BBS (CVE-2020-21495)
Fecha de publicación:
04/10/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en el componente /admin/?setting-base.htm de Xiuno BBS versión 4.0.4 permite a atacantes ejecutar scripts web arbitrarios o HTML a través del parámetro sitename
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2021

Vulnerabilidad en una carga útil en el campo nickname text en la función Editing bajo el módulo Member en Maccms (CVE-2020-21434)
Fecha de publicación:
04/10/2021
Idioma:
Español
Maccms versión 10, contiene una vulnerabilidad de tipo cross-site scripting (XSS) en la función Editing bajo el módulo Member. Esta vulnerabilidad se explota por medio de una carga útil diseñada en el campo nickname text
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/10/2021

Vulnerabilidad en "docker cp" en Moby (CVE-2021-41089)
Fecha de publicación:
04/10/2021
Idioma:
Español
Moby es un proyecto de código abierto creado por Docker para permitir la contenedorización de software. Se ha encontrado un fallo en Moby (Docker Engine) en el que el intento de copiar archivos mediante `docker cp` en un contenedor especialmente diseñado puede dar lugar a cambios en los permisos de archivos Unix para los archivos existentes en el sistema de archivos del host, ampliando el acceso a otros. Este fallo no permite directamente la lectura, modificación o ejecución de archivos sin un proceso adicional que coopere. Este error ha sido corregido en Moby (Docker Engine) 20.10.9. Los usuarios deben actualizar a esta versión lo antes posible. Los contenedores en ejecución no necesitan ser reiniciados
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el directorio de datos en Moby (CVE-2021-41091)
Fecha de publicación:
04/10/2021
Idioma:
Español
Moby es un proyecto de código abierto creado por Docker para permitir la contención de software. Se encontró un error en Moby (Docker Engine) en el que el directorio de datos (normalmente "/var/lib/docker") contenía subdirectorios con permisos insuficientemente restringidos, lo que permitía a usuarios de Linux no privilegiados saltar el contenido del directorio y ejecutar programas. Cuando los contenedores incluían programas ejecutables con bits de permiso extendidos (como "setuid"), los usuarios no privilegiados de Linux podían detectar y ejecutar esos programas. Cuando el UID de un usuario de Linux no privilegiados en el host colisionaba con el propietario o el grupo de un archivo dentro de un contenedor, el usuario de Linux no privilegiados en el host podía descubrir, leer y modificar esos archivos. Este bug ha sido corregido en Moby (Docker Engine) versión 20.10.9. Usuarios deberían actualizar a esta versión lo antes posible. Los contenedores en ejecución deben ser detenidos y reiniciados para que los permisos sean corregidos. Para usuarios que no puedan actualizar, limite el acceso al host a usuarios confiables. Limite el acceso a los volúmenes del host a los contenedores confiables
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en los datos del protocolo "RESP" "multi-bulk" en el análisis de las respuestas "multi-bulk" en Hiredis (CVE-2021-32765)
Fecha de publicación:
04/10/2021
Idioma:
Español
Hiredis es una librería cliente minimalista en C para la base de datos Redis. En las versiones afectadas, Hiredis es vulnerable al desbordamiento de enteros si se proporcionan datos del protocolo "RESP" "multi-bulk" maliciosamente diseñados o corruptos. Cuando se analizan las respuestas "multi-bulk" (tipo array), hiredis no comprueba si "count * sizeof(redisReply*)" puede representarse en "SIZE_MAX". Si no puede, y la llamada a "calloc()" no hace por sí misma esta comprobación, se produciría una asignación corta y el consiguiente desbordamiento del búfer. Los usuarios de hiredis que no puedan actualizar pueden establecer la opción de contexto [maxelements](https://github.com/redis/hiredis#reader-max-array-elements) a un valor lo suficientemente pequeño como para que no sea posible el desbordamiento
Gravedad CVSS v3.1: ALTA
Última modificación:
07/12/2022

Vulnerabilidad en el archivo download/index.php en el parámetro file en BIQS IT Biqs-drive (CVE-2021-39433)
Fecha de publicación:
04/10/2021
Idioma:
Español
Se presenta una vulnerabilidad de inclusión de archivos locales (LFI) en la versión BIQS IT Biqs-drive v1.83 y por debajo, cuando se envía una carga útil específica como el parámetro file al archivo download/index.php. Esto permite al atacante leer archivos arbitrarios del servidor con los permisos del usuario web configurado
Gravedad CVSS v3.1: ALTA
Última modificación:
12/10/2021

Vulnerabilidad en una carga útil en el parámetro type_en de Maccms (CVE-2020-21387)
Fecha de publicación:
04/10/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en el parámetro type_en de Maccms versión 10, permite a atacantes obtener la cookie del administrador y escalar privilegios por medio de una carga útil diseñada
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/10/2021

Vulnerabilidad en el componente admin.php/admin/type/info.html de Maccms (CVE-2020-21386)
Fecha de publicación:
04/10/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el componente admin.php/admin/type/info.html de Maccms versión 10, permite a atacantes alcanzar privilegios de administrador
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2021
Suscribirse a Vulnerabilidades