Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la funcionalidad Forgot Password en Seceon aiSIEM (CVE-2021-28293)
Fecha de publicación:
08/06/2021
Idioma:
Español
Seceon aiSIEM versiones anteriores a 6.3.2 (build 585) es propenso a una vulnerabilidad de toma de control de cuenta no autenticada en la funcionalidad Forgot Password. La falta de una configuración correcta conlleva a una recuperación del enlace de restablecimiento de la contraseña generado por medio de la funcionalidad password reset, por lo tanto, un atacante no autenticado puede ajustar una contraseña arbitraria para cualquier usuario
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/04/2022

Vulnerabilidad en el sistema gstd en Dell EMC NetWorker (CVE-2021-21558)
Fecha de publicación:
08/06/2021
Idioma:
Español
Dell EMC NetWorker, versiones 18.x, 19.1.x, 19.2.x 19.3.x, 19.4 y 19.4.0.1, contiene una vulnerabilidad de Divulgación de Información. Un administrador local del sistema gstd puede explotar potencialmente esta vulnerabilidad para leer las credenciales LDAP de los registros locales y usar las credenciales robadas para realizar cambios en el dominio de red
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2021

Vulnerabilidad en los componentes client en Dell EMC NetWorker (CVE-2021-21559)
Fecha de publicación:
08/06/2021
Idioma:
Español
Dell EMC NetWorker, versiones 18.x, 19.1.x, 19.2.x 19.3.x, 19.4 y 19.4.0.1, contienen una vulnerabilidad de Comprobación de Certificados Inapropiada en los componentes del client (consola de gestión de NetWorker) que usa la conexión cifrada SSL para comunicarse con el servidor de aplicaciones. Un atacante no autenticado en el mismo dominio de colisión de red que el cliente de la Consola de administración de NetWorker podría explotar potencialmente esta vulnerabilidad para llevar a cabo ataques de tipo man-in-the-middle para interceptar y manipular el tráfico entre el cliente y el servidor de aplicaciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2021

Vulnerabilidad en un FormField en SilverStripe (CVE-2020-26138)
Fecha de publicación:
08/06/2021
Idioma:
Español
En SilverStripe versiones hasta 4.6.0-rc1, un FormField con corchetes en el nombre del campo omite la comprobación
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2021

Vulnerabilidad en CSSContentParser en SilverStripe (CVE-2020-25817)
Fecha de publicación:
08/06/2021
Idioma:
Español
SilverStripe versiones hasta 4.6.0-rc1, presenta una vulnerabilidad de tipo XXE en CSSContentParser. Una utilidad para desarrolladores destinada a analizar HTML dentro de las pruebas unitarias puede ser vulnerable a ataques de tipo XML External Entity (XXE). Cuando esta utilidad para desarrolladores es usada de forma indebida para fines que implican datos externos o enviados por el usuario en el código de proyectos personalizados, puede conllevar a vulnerabilidades de tipo XSS en la salida de HTML renderizada mediante este código personalizado. Esto es mitigado ahora al desactivar las entidades externas durante el análisis sintáctico. (El año correcto del CVE ID es 2020 [CVE-2020-25817, no CVE-2021-25817])
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2021

Vulnerabilidad en el uso de Git commit hash en reg-keygen-git-hash-plugin (CVE-2021-32673)
Fecha de publicación:
08/06/2021
Idioma:
Español
reg-keygen-git-hash-plugin es un plugin de reg-suit para detectar la clave instantánea para ser comparada con el uso de Git commit hash. reg-keygen-git-hash-plugin versiones hasta 0.10.15 e incluyéndola, permiten a atacantes remotos a ejecutar comandos arbitrarios. Actualizar a versión 0.10.16 o posterior para resolver este problema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/04/2022

Vulnerabilidad en el acceso a la memoria del TPM en Nuvoton NPCT75x TPM (CVE-2021-32015)
Fecha de publicación:
08/06/2021
Idioma:
Español
En Nuvoton NPCT75x TPM versión 1.2 versión de firmware 7.4.0.0, un usuario local malicioso y autenticado muy privilegiado podría potencialmente conseguir acceso no autorizado a la memoria no volátil del TPM. NOTA: actualizando a versión de firmware 7.4.0.1 mitigará la vulnerabilidad, pero versión 7.4.0.1 no está certificada por TCG o Common Criteria (CC). Nuvoton recomienda que los usuarios apliquen la actualización de firmware NPCT75x TPM 1.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/06/2021

Vulnerabilidad en GitLab EE (CVE-2021-22215)
Fecha de publicación:
08/06/2021
Idioma:
Español
Una vulnerabilidad de divulgación de información en las versiones 13.11 y posteriores de GitLab EE, permitía a un propietario de proyecto filtrar información sobre las rotaciones de guardia de los miembros en otros proyectos
Gravedad CVSS v3.1: BAJA
Última modificación:
12/07/2022

Vulnerabilidad en el manejo de los certificados x509 en GitLab CE/EE (CVE-2021-22218)
Fecha de publicación:
08/06/2021
Idioma:
Español
Todas las versiones de GitLab CE/EE a partir de la 12.8 antes de la 13.10.5, todas las versiones a partir de la 13.11 antes de la 13.11.5, y todas las versiones a partir de la 13.12 antes de la 13.12.2 se veían afectadas por un problema en el manejo de los certificados x509 que podía utilizarse para falsificar el autor de los commits firmados
Gravedad CVSS v3.1: BAJA
Última modificación:
22/07/2022

Vulnerabilidad en una función risky en la adquisición de Ips en Apache APISIX Dashboard (CVE-2021-33190)
Fecha de publicación:
08/06/2021
Idioma:
Español
En Apache APISIX Dashboard versión 2.6, hemos cambiado el valor por defecto de listen host a 0.0.0.0 para facilitar a usuarios la configuración del acceso a la red externa. En la restricción de la lista de IPs permitidas, una función risky fue usada para la adquisición de IPs, lo que hizo posible omitir el límite de la red. Al mismo tiempo, la cuenta y la contraseña predeterminadas son fijas. En última instancia, estos factores conllevan al problema de riesgos de seguridad. Este problema es corregido en APISIX Dashboard versión 2.6.1
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo PolarisOffice.exe y la biblioteca EngineDLL.dll en Polaris Office (CVE-2021-34280)
Fecha de publicación:
08/06/2021
Idioma:
Español
Polaris Office versión v9.103.83.44230, está afectado por una vulnerabilidad de puntero no inicializado en el archivo PolarisOffice.exe y la biblioteca EngineDLL.dll que puede causar una ejecución de código remota. Para explotar la vulnerabilidad, alguien debe abrir un archivo PDF diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2021

Vulnerabilidad en el manejo de entradas en el broker de mensajes en VerneMQ MQTT Broker (CVE-2021-33176)
Fecha de publicación:
08/06/2021
Idioma:
Español
VerneMQ MQTT Broker versiones anteriores a 1.12.0, son vulnerables a un ataque de denegación de servicio como resultado del consumo excesivo de memoria debido al manejo de entradas no confiables. Estas entradas causan que el broker de mensajes consuma grandes cantidades de memoria, resultando en que la aplicación sea terminada por el sistema operativo
Gravedad CVSS v3.1: ALTA
Última modificación:
21/06/2021
Suscribirse a Vulnerabilidades