Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SphinxSearch en Sphinx Technologies Sphinx (CVE-2020-29050)
Fecha de publicación:
10/01/2022
Idioma:
Español
SphinxSearch en Sphinx Technologies Sphinx versiones hasta 3.1.1, permite un salto de directorio (en conjunto con CVE-2019-14511) porque el cliente mysql puede ser usado para operaciones CALL SNIPPETS y load_file en una ruta completa (por ejemplo, un archivo en el directorio /etc). NOTA: esto no está relacionado con CMUSphinx
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2022

Vulnerabilidad en mensajes SECURITY NONCE GET, SECURITY NONCE GET 2, NO OPERATION, o NIF REQUEST en los dispositivos Z-Wave en la serie 500 de Silicon Labs (CVE-2020-9060)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los dispositivos Z-Wave basados en los conjuntos de chips de la serie 500 de Silicon Labs que usan S2, incluidos, entre otros, ZooZ ZST10 versión 6.04, ZooZ ZEN20 versión 5.03, ZooZ ZEN25 versión 5.03, Aeon Labs ZW090-A versión 3. 95, y Fibaro FGWPB-111 versión 4.3, son susceptibles a una denegación de servicio y al agotamiento de recursos por medio de mensajes malformados SECURITY NONCE GET, SECURITY NONCE GET 2, NO OPERATION, o NIF REQUEST
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/09/2022

Vulnerabilidad en los dispositivos Z-Wave en los conjuntos de chips de la serie 500 de Silicon Labs (CVE-2020-9059)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los dispositivos Z-Wave basados en los conjuntos de chips de la serie 500 de Silicon Labs que usan la autenticación S0 son susceptibles a un consumo de recursos no controlados, conllevando a un agotamiento de la batería. Como ejemplo, la cerradura de puerta Schlage BE468 versión 3.42 es vulnerable y falla al abrirse con un nivel bajo de batería
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/09/2022

Vulnerabilidad en Spring Framework (CVE-2021-22060)
Fecha de publicación:
10/01/2022
Idioma:
Español
En Spring Framework versiones 5.3.0 - 5.3.13, 5.2.0 - 5.2.18, y en las versiones anteriores no soportadas, es posible que un usuario proporcione una entrada maliciosa que cause una inserción de entradas de registro adicionales. Se trata de un seguimiento de CVE-2021-22096 que protege contra tipos adicionales de entrada y en más lugares de la base de código de Spring Framework
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2022

Vulnerabilidad en el producto afectado (CVE-2021-23173)
Fecha de publicación:
10/01/2022
Idioma:
Español
El producto afectado es vulnerable a un control de acceso inapropiado, que puede permitir a un usuario autenticado conseguir acceso no autorizado a datos confidenciales
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/08/2022

Vulnerabilidad en los campos com.google.protobuf.UnknownFieldSet en protobuf-java (CVE-2021-22569)
Fecha de publicación:
10/01/2022
Idioma:
Español
Un problema en protobuf-java permitía intercalar campos com.google.protobuf.UnknownFieldSet de tal manera que eran procesados fuera de orden. Una pequeña carga útil maliciosa puede ocupar el analizador durante varios minutos al crear un gran número de objetos de corta duración que causan frecuentes y repetidas pausas. Recomendamos actualizar las bibliotecas más allá de las versiones vulnerables
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/04/2023

Vulnerabilidad en las tramas FIND_NODE_IN_RANGE en los dispositivos Z-Wave en los conjuntos de chips de la serie 700 de Silicon Labs (CVE-2020-10137)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los dispositivos Z-Wave basados en los conjuntos de chips de la serie 700 de Silicon Labs que usan S2 no autentican o cifran adecuadamente las tramas FIND_NODE_IN_RANGE, permitiendo a un atacante remoto no autenticado inyectar una trama FIND_NODE_IN_RANGE con una carga útil aleatoria no válida, negando el servicio al bloquear el procesamiento de los próximos eventos
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/01/2022

Vulnerabilidad en QTS, QuTS hero y QuTScloud (CVE-2021-38674)
Fecha de publicación:
07/01/2022
Idioma:
Español
Se ha informado de una vulnerabilidad de tipo cross-site scripting (XSS) que afecta a QTS, QuTS hero y QuTScloud. Si es explotado, esta vulnerabilidad permite a atacantes remotos inyectar código malicioso. Ya hemos corregido esta vulnerabilidad en las siguientes versiones de QTS, QuTS hero y QuTScloud: QuTS hero h4.5.4.1771 build 20210825 y posteriores QTS 4.5.4.1787 build 20210910 y posteriores QuTScloud c4.5.7.1864 y posteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/01/2022

Vulnerabilidad en las secuencias de escape, meta o de control en kubectl (CVE-2021-25743)
Fecha de publicación:
07/01/2022
Idioma:
Español
kubectl no neutraliza las secuencias de escape, meta o de control contenidas en los datos brutos que envía a un terminal. Esto incluye, pero no se limita, a los campos de cadena no estructurados en objetos como los Eventos
Gravedad CVSS v3.1: BAJA
Última modificación:
13/01/2026

Vulnerabilidad en WordPress (CVE-2022-21662)
Fecha de publicación:
06/01/2022
Idioma:
Español
WordPress es un sistema de administración de contenidos gratuito y de código abierto escrito en PHP y emparejado con una base de datos MariaDB. Los usuarios autenticados con pocos privilegios (como el autor) en el núcleo de WordPress son capaces de ejecutar JavaScript/realizar un ataque de tipo XSS almacenado, que puede afectar a usuarios con altos privilegios. Esto ha sido parcheado en WordPress versión 5.8.3. Las versiones más antiguas afectadas también han sido corregidas por medio de un comunicado de seguridad, que remonta hasta la versión 3.7.37. Le recomendamos encarecidamente que mantenga habilitadas las actualizaciones automáticas. No se presentan medidas de mitigación conocidas para este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en WordPress (CVE-2022-21664)
Fecha de publicación:
06/01/2022
Idioma:
Español
WordPress es un sistema de administración de contenidos gratuito y de código abierto escrito en PHP y emparejado con una base de datos MariaDB. Debido a una falta de saneo apropiada en una de las clases, se presenta la posibilidad de que sean ejecutadas consultas SQL no deseadas. Esto ha sido parcheado en WordPress versión 5.8.3. Las versiones más antiguas afectadas también han sido corregidas por medio de la liberación de seguridad, que remonta a la versión 4.1.34. Le recomendamos encarecidamente que mantenga habilitadas las actualizaciones automáticas. No se presentan medidas de mitigación adicionales conocidas para este problema
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en WordPress (CVE-2022-21663)
Fecha de publicación:
06/01/2022
Idioma:
Español
WordPress es un sistema de administración de contenidos gratuito y de código abierto escrito en PHP y emparejado con una base de datos MariaDB. En un multisitio, los usuarios con el rol de Super Admin pueden omitir el endurecimiento explícito/adicional bajo determinadas condiciones mediante una inyección de objetos. Esto ha sido parcheado en WordPress versión 5.8.3. Las versiones más antiguas afectadas también han sido corregidas por medio de una liberación de seguridad, que remonta a la versión 3.7.37. Le recomendamos encarecidamente que mantenga habilitadas las actualizaciones automáticas. No se presentan medidas de mitigación conocidas para este problema
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades