Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la interfaz /cloud_config/router_post/check_reset_pwd_verify_code en TP-LINK WR-886N 20190826 (CVE-2021-44623)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se presenta una vulnerabilidad de desbordamiento del búfer en TP-LINK WR-886N 20190826 versión 2.3.8, por medio de la interfaz /cloud_config/router_post/check_reset_pwd_verify_code
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/03/2022

Vulnerabilidad en la función /cloud_config/router_post/check_reg_verify_code en TP-LINK WR-886N 20190826 (CVE-2021-44622)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se presenta una vulnerabilidad de desbordamiento del búfer en TP-LINK WR-886N 20190826 versión 2.3.8, en la función /cloud_config/router_post/check_reg_verify_code que podría permitir a un usuario malicioso eliminar la ejecución de código arbitrario por medio de una petición post diseñada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/03/2022

Vulnerabilidad en el archivo util/mem_util.rs en Occlum para Intel SGX (CVE-2021-44421)
Fecha de publicación:
10/03/2022
Idioma:
Español
La lógica de comprobación de punteros en el archivo util/mem_util.rs en Occlum versiones anteriores a 0.26.0 para Intel SGX actúa como una vulnerabilidad de tipo "confused deputy" que permite a un atacante local acceder a información no autorizada por medio de un análisis de canal lateral
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2022

Vulnerabilidad en Northern.tech CFEngine Enterprise (CVE-2021-44216)
Fecha de publicación:
10/03/2022
Idioma:
Español
Northern.tech CFEngine Enterprise versiones anteriores a 3.15.5 y versiones 3.18.x anteriores a 3.18.1, presenta Permisos Inseguros que pueden permitir a usuarios locales no autorizados acceder a los archivos de registro de Apache y Mission Portal
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2022

Vulnerabilidad en el archivo src/pack_utils.c en la función WavpackPackSamples en Wavpack (CVE-2021-44269)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se encontró una lectura fuera de límites en Wavpack versión 5.4.0, al procesar archivos *.WAV. Este problema es desencadenado en la función WavpackPackSamples del archivo src/pack_utils.c, la variable tainted cnt es demasiado grande, lo que hace que el puntero sptr sea leído más allá del límite de la pila
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Northern.tech CFEngine Enterprise (CVE-2021-44215)
Fecha de publicación:
10/03/2022
Idioma:
Español
Northern.tech CFEngine Enterprise versiones 3.15.4 anteriores a 3.15.5, presenta Permisos Inseguros que pueden permitir a usuarios locales no autorizados tener un impacto no especificado
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2022

Vulnerabilidad en TP-Link Omada SDN Software Controller (CVE-2021-44032)
Fecha de publicación:
10/03/2022
Idioma:
Español
TP-Link Omada SDN Software Controller versiones anteriores a 5.0.15, no comprueba si el método de autenticación especificado en una petición de conexión está permitido. Un atacante puede omitir el proceso de autenticación del portal cautivo al usar el método "no authentication" degradado, y acceder a la red protegida. Por ejemplo, el atacante puede simplemente establecer window.authType=0 en el JavaScript del lado del cliente
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en un nombre de archivo .mp3;.jsp en el archivo albumimages.jsp en Quicklert para Digium (CVE-2021-43970)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se presenta una vulnerabilidad de carga arbitraria de archivos en el archivo albumimages.jsp en Quicklert para Digium versión 10.0.0 (1043) por medio de un nombre de archivo .mp3;.jsp para un archivo que comienza con bytes de datos de audio. Permite a un atacante autenticado (con pocos privilegios) ejecutar código remoto en el servidor de destino dentro del contexto de los permisos de la aplicación (SYSTEM)
Gravedad CVSS v3.1: ALTA
Última modificación:
15/03/2022

Vulnerabilidad en el parámetro login.jsp uname en la página login.jsp de Quicklert para Digium (CVE-2021-43969)
Fecha de publicación:
10/03/2022
Idioma:
Español
La página login.jsp de Quicklert para Digium versión 10.0.0 (1043), está afectada por una inyección SQL ciega con interacción fuera de banda (DNS) y una inyección SQL ciega basada en el tiempo. Una explotación puede ser usada para revelar todos los datos dentro de la base de datos (hasta e incluyendo los IDs y contraseñas de las cuentas administrativas) por medio del parámetro login.jsp uname
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2022

Vulnerabilidad en la API "/api/appInternals/1.0/agent/da/pcf" en el agente de muestreo dinámico (DSA) AgentDaServlet de SteelCentral AppInternals (CVE-2021-42857)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se ha detectado que el agente de muestreo dinámico (DSA) AgentDaServlet de SteelCentral AppInternals presenta vulnerabilidades de salto de directorio en la API "/api/appInternals/1.0/agent/da/pcf". El endpoint afectado no comprueba la entrada del usuario, lo que permite inyectar una carga maliciosa
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2022

Vulnerabilidad en el parámetro Metric en el endpoint /DsaDataTest (CVE-2021-42856)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se ha detectado que el endpoint /DsaDataTest es susceptible de sufrir un ataque de tipo cross-site scripting (XSS). Se ha detectado que el parámetro Metric no presenta ninguna comprobación de entrada en la entrada del usuario que permite a un atacante elaborar su propia carga útil maliciosa para desencadenar una vulnerabilidad de tipo XSS
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2022

Vulnerabilidad en el archivo ".debug_command.config" en el agente de muestreo dinámico (DSA) de SteelCentral AppInternals (CVE-2021-42855)
Fecha de publicación:
10/03/2022
Idioma:
Español
Se ha detectado que el agente de muestreo dinámico (DSA) de SteelCentral AppInternals usa el archivo ".debug_command.config" para almacenar una cadena json que contiene una lista de ID y comandos preconfigurados. El archivo de configuración es usado posteriormente por la API "/api/appInternals/1.0/agent/configuration" para asignar el ID correspondiente a un comando a ejecutar
Gravedad CVSS v3.1: ALTA
Última modificación:
09/08/2022
Suscribirse a Vulnerabilidades