Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en bluetoothd en BlueZ (CVE-2019-8922)
Fecha de publicación:
29/11/2021
Idioma:
Español
Se ha detectado un desbordamiento del búfer en la región heap de la memoria en bluetoothd en BlueZ versiones hasta 5.48. No presenta ninguna comprobación sobre si presenta suficiente espacio en el buffer de destino. La función simplemente añade todos los datos que son pasados. Los valores de todos los atributos solicitados son añadidos al búfer de salida. No se presenta ningún tipo de comprobación de tamaño, resultando en un simple desbordamiento de la pila si es posible diseñar una petición en la que la respuesta sea lo suficientemente grande como para desbordar el búfer preasignado. Este problema se presenta cuando service_attr_req es llamado por process_request (en el archivo sdpd-request.c), que también asigna el buffer de respuesta
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en determinadas funciones de análisis de XML en PHP (CVE-2021-21707)
Fecha de publicación:
29/11/2021
Idioma:
Español
En PHP versiones 7.3.x anteriores a 7.3.33, 7.4.x anteriores a 7.4.26 y 8.0.x anteriores a 8.0.13, determinadas funciones de análisis de XML, como simplexml_load_file(), decodifican el nombre de archivo que les es pasado. Si ese nombre de archivo contiene un carácter NUL codificado en la URL, esto puede causar que la función lo interprete como el final del nombre de archivo, interpretando así el nombre de archivo de forma diferente a la que el usuario pretendía, lo que puede conllevar a una lectura de un archivo diferente al deseado
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/02/2023

Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus (CVE-2021-44077)
Fecha de publicación:
29/11/2021
Idioma:
Español
Zoho ManageEngine ServiceDesk Plus versiones anteriores a 11306, ServiceDesk Plus MSP versiones anteriores a 10530, y SupportCenter Plus versiones anteriores a 11014, son vulnerables a una ejecución de código remota no autenticada. Esto está relacionado con las URLs /RestAPI en un servlet, y con ImportTechnicians en la configuración de Struts
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/10/2025

Vulnerabilidad en un bucket en S3Scanner (CVE-2021-32061)
Fecha de publicación:
29/11/2021
Idioma:
Español
S3Scanner versiones anteriores a 2.0.2, permite un Salto de Directorio por medio de un bucket diseñado, como es demostrado por una subcadena (Key)../ en un elemento ListBucketResult
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/11/2021

Vulnerabilidad en la función upload avatar en zrlog (CVE-2021-44093)
Fecha de publicación:
28/11/2021
Idioma:
Español
Una vulnerabilidad de ejecución remota de comandos en el fondo en zrlog versión 2.2.2, en la función upload avatar, podría omitir el límite original, subir el archivo JSP para conseguir una WebShell
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/11/2021

Vulnerabilidad en la función plugin download en ZrLog (CVE-2021-44094)
Fecha de publicación:
28/11/2021
Idioma:
Español
ZrLog versión 2.2.2 presenta una vulnerabilidad de ejecución de comandos remota en la función plugin download, podría ejecutar cualquier archivo JAR
Gravedad CVSS v3.1: ALTA
Última modificación:
29/11/2021

Vulnerabilidad en janus-gateway (CVE-2021-4020)
Fecha de publicación:
27/11/2021
Idioma:
Español
janus-gateway es vulnerable a una Neutralización Inapropiada de Entradas Durante la Generación de Páginas Web ("Cross-site Scripting")
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/11/2021

Vulnerabilidad en los archivos CSV en el paquete html-to-csv (CVE-2021-23654)
Fecha de publicación:
26/11/2021
Idioma:
Español
Esto afecta a todas las versiones del paquete html-to-csv. Cuando se presenta una fórmula insertada en una página HTML, se acepta sin ninguna comprobación y la misma se empuja mientras es convertida en un archivo CSV. A través de esto un actor malicioso puede insertar o generar un enlace malicioso o ejecutar comandos por medio de archivos CSV
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/12/2021

Vulnerabilidad en una URL para un emoji personalizado, y una cadena i18n en el componente @joeattardi/emoji-button (CVE-2021-43785)
Fecha de publicación:
26/11/2021
Idioma:
Español
joeattardi/emoji-button es un componente de selección de emoji de Vanilla JavaScript. En las versiones afectadas se presentan dos vectores para ataques de tipo XSS: una URL para un emoji personalizado, y una cadena i18n. En ambos casos, un valor puede ser diseñado de tal manera que puede insertar una etiqueta "script" en la página y ejecutar código malicioso
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/11/2021

Vulnerabilidad en el plugin auth-backend en Backstage (CVE-2021-43776)
Fecha de publicación:
26/11/2021
Idioma:
Español
Backstage es una plataforma abierta para construir portales para desarrolladores. En las versiones afectadas, el plugin auth-backend permite a un actor malicioso engañar a otro usuario para que visite una URL vulnerable que ejecute un ataque de tipo XSS. Este ataque puede permitir al atacante exfiltrar tokens de acceso u otros secretos del navegador del usuario. El CSP por defecto previene este ataque, pero se espera que algunas implementaciones tengan estas políticas deshabilitadas debido a incompatibilidades. Esta vulnerabilidad está parcheada en la versión "0.4.9" de "@backstage/plugin-auth-backend"
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/11/2021

Vulnerabilidad en los archivos zip en BaserCMS (CVE-2021-41279)
Fecha de publicación:
26/11/2021
Idioma:
Español
BaserCMS es un sistema de administración de contenidos de código abierto centrado en el soporte del idioma japonés. En las versiones afectadas, los usuarios con privilegios de carga pueden cargar archivos zip diseñados capaces de salto de ruta en el sistema operativo anfitrión. Se trata de una vulnerabilidad que necesita abordarse cuando el sistema de administración es usado por un número no determinado de usuarios. Si usted es elegible, por favor actualice a la nueva versión tan pronto como sea posible
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2021

Vulnerabilidad en los archivos zip en el sistema de administración de baserCMS (CVE-2021-41243)
Fecha de publicación:
26/11/2021
Idioma:
Español
Se presenta una Vulnerabilidad Potencial de Deslizamiento de Zip y de Inyección de Comandos del Sistema Operativo en el sistema de administración de baserCMS. Los usuarios con permisos para subir archivos pueden subir archivos zip diseñados que pueden ejecutar comandos arbitrarios en el sistema operativo anfitrión. Se trata de una vulnerabilidad que debe solucionarse cuando el sistema de administración es usado por un número indeterminado de usuarios. Si usted es elegible, por favor, actualice a la nueva versión tan pronto como sea posible
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2021
Suscribirse a Vulnerabilidades