Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el almacenamiento de contraseñas en texto plano en Dell EMC Unity, Unity XT y UnityVSA (CVE-2021-21591)
Fecha de publicación:
12/07/2021
Idioma:
Español
Dell EMC Unity, Unity XT y UnityVSA versiones anteriores a 5.1.0.5.394, contienen una vulnerabilidad de almacenamiento de contraseñas en texto plano. Un usuario local malicioso con altos privilegios puede usar la contraseña expuesta para conseguir acceso con los privilegios del usuario comprometido
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2022

Vulnerabilidad en los parámetros remoteAddr y themeName en Halo (CVE-2020-18980)
Fecha de publicación:
12/07/2021
Idioma:
Español
Una vulnerabilidad de Ejecución de Código Remota en Halo versión 0.4.3, por medio de los parámetros remoteAddr y themeName
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/07/2021

Vulnerabilidad en los archivos gespage/doDownloadData y gespage/webapp/doDownloadData en Cartadis Gespage (CVE-2021-33807)
Fecha de publicación:
12/07/2021
Idioma:
Español
Cartadis Gespage versiones hasta 8.2.1, permite un Salto de Directorio en los archivos gespage/doDownloadData y gespage/webapp/doDownloadData
Gravedad CVSS v3.1: ALTA
Última modificación:
20/09/2021

Vulnerabilidad en el manejo de errores durante la I/O en Apache Tomcat (CVE-2021-30639)
Fecha de publicación:
12/07/2021
Idioma:
Español
Una vulnerabilidad en Apache Tomcat permite a un atacante desencadenar remotamente una denegación de servicio. Un error introducido como parte de un cambio para mejorar el manejo de errores durante la I/O sin bloqueo significaba que el flag de error asociado al objeto Request no se restablecía entre peticiones. Esto significaba que una vez que se producía un error de I/O sin bloqueo, todas las futuras peticiones manejadas por ese objeto de petición podrían producir un fallo. Unos usuarios podían desencadenar errores de I/O sin bloqueo, por ejemplo, abandonando una conexión, creando así la posibilidad de desencadenar una DoS. Las aplicaciones que no usan I/O sin bloqueo no están expuestas a esta vulnerabilidad. Este problema afecta a Apache Tomcat versiones 10.0.3 a 10.0.4; 9.0.44; 8.5.64
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un nombre de usuario en el ámbito JNDI de Apache Tomcat (CVE-2021-30640)
Fecha de publicación:
12/07/2021
Idioma:
Español
Una vulnerabilidad en el ámbito JNDI de Apache Tomcat permite a un atacante autenticarse usando variaciones de un nombre de usuario válido y/o omitir parte de la protección proporcionada por el ámbito LockOut. Este problema afecta a Apache Tomcat versiones 10.0.0-M1 hasta 10.0.5; versiones 9.0.0.M1 hasta 9.0.45; versiones 8.5.0 hasta 8.5.65
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/10/2022

Vulnerabilidad en el encabezado de petición HTTP transfer-encoding en Apache Tomcat (CVE-2021-33037)
Fecha de publicación:
12/07/2021
Idioma:
Español
Apache Tomcat versiones 10.0.0-M1 hasta 10.0.6, versiones 9.0.0.M1 hasta 9.0.46 y versiones 8.5.0 hasta 8.5.66, no analizaban correctamente el encabezado de petición HTTP transfer-encoding en algunas circunstancias, conllevando a la posibilidad de contrabando de peticiones cuando se usaba con un proxy inverso. Específicamente: - Tomcat ignoraba incorrectamente el encabezado de codificación de transferencia si el cliente declaraba que sólo aceptaría una respuesta HTTP/1.0; - Tomcat honraba la codificación de identificación; y - Tomcat no se aseguraba de que, si estaba presente, la codificación en trozos fuera la codificación final
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el parámetro X-forwarded-for Header en Halo (CVE-2020-18979)
Fecha de publicación:
12/07/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Siste Scripting (XSS) en Halo versión 0.4.3, por medio del parámetro X-forwarded-for Header
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/07/2021

Vulnerabilidad en los datos de WebSocket resourceSet.getAll en Xen Orchestra (CVE-2021-36383)
Fecha de publicación:
12/07/2021
Idioma:
Español
Xen Orchestra (con xo-web versiones hasta 5.80.0 y xo-server versiones hasta 5.84.0) maneja inapropiadamente la autorización, como es demostrado por los datos modificados de WebSocket resourceSet.getAll en los que el atacante cambia el campo permission de none a admin. El atacante obtiene acceso a conjuntos de datos como VMs, Copias de Seguridad, Auditoría, Usuarios y Grupos
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en la funcionalidad audit logging de Nextcloud Server (CVE-2021-32680)
Fecha de publicación:
12/07/2021
Idioma:
Español
Nextcloud Server es un paquete de Nextcloud que maneja el almacenamiento de datos. En versiones anteriores a 19.0.13, 20.0.11 y 21.0.3, la funcionalidad audit logging de Nextcloud Server no registraba apropiadamente los eventos por la anulación de la fecha de caducidad de una acción. Se supone que este evento se registra. Este problema fue corregido en versiones 19.0.13, 20.0.11 y 21.0.3
Gravedad CVSS v3.1: BAJA
Última modificación:
07/11/2023

Vulnerabilidad en los tokens de la aplicación en Nextcloud Server (CVE-2021-32688)
Fecha de publicación:
12/07/2021
Idioma:
Español
Nextcloud Server es un paquete de Nextcloud que maneja el almacenamiento de datos. Nextcloud Server soporta tokens específicos de la aplicación para fines de autenticación. Estos tokens se supone que le conceden a una aplicación específica (por ejemplo, clientes de sincronización DAV), y también pueden ser configurados por el usuario para no tener ningún acceso al sistema de archivos. Debido a una falta de comprobación de permisos, los tokens podían cambiar sus propios permisos en versiones anteriores a 19.0.13, 20.0.11 y 21.0.3. Así, los tokens limitados al sistema de archivos podían concederse a sí mismos acceso al sistema de archivos. El problema está parcheado En versiones 19.0.13, 20.0.11 y 21.0.3. No se conocen soluciones aparte de la actualización
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en las peticiones HTTP en la interfaz administrativa de FortiMail (CVE-2021-24015)
Fecha de publicación:
12/07/2021
Idioma:
Español
Una vulnerabilidad de neutralización inapropiada de los elementos especiales usados en un Comando del Sistema Operativo en la interfaz administrativa de FortiMail versiones anteriores a 6.4.4 puede permitir a un atacante autenticado ejecutar comandos no autorizados por medio de peticiones HTTP específicamente diseñadas
Gravedad CVSS v3.1: ALTA
Última modificación:
14/07/2021

Vulnerabilidad en el envío de paquetes de notificación de inicio de sesión UDP en FSSO Collector (CVE-2021-26088)
Fecha de publicación:
12/07/2021
Idioma:
Español
Una vulnerabilidad de autenticación inapropiada en FSSO Collector versiones 5.0.295 de y posteriores, puede permitir a un usuario no autenticado omitir una política de firewall de FSSO y acceder a la red protegida por medio del envío de paquetes de notificación de inicio de sesión UDP específicamente diseñados
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/08/2021
Suscribirse a Vulnerabilidades