Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función add blog tag en la etiqueta de blog en mysiteforme (CVE-2021-46026)
Fecha de publicación:
20/01/2022
Idioma:
Español
mysiteforme, a partir del 19-12-2022, es vulnerable a un ataque de tipo Cross Site Scripting (XSS) por medio de la función add blog tag en la etiqueta de blog en la administración de blogs en segundo plano
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2025

Vulnerabilidad en la administración de artículos en segundo plano en mblog (CVE-2021-46028)
Fecha de publicación:
20/01/2022
Idioma:
Español
En mblog versiones anteriores a 3.5.0 incluyéndola, se presenta una vulnerabilidad de tipo CSRF en la administración de artículos en segundo plano. El atacante construye una carga de tipo CSRF. Una vez que el administrador hace clic en un enlace malicioso, el artículo será eliminado
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2022

Vulnerabilidad en la administración del blog en mysiteforme (CVE-2021-46027)
Fecha de publicación:
19/01/2022
Idioma:
Español
mysiteforme, a partir del 19-12-2022, presenta una vulnerabilidad de tipo CSRF en la administración del blog en segundo plano. El atacante construye una carga de tipo CSRF. Una vez que el administrador hace clic en un enlace malicioso, es añadida una etiqueta de blog
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2025

Vulnerabilidad en el repositorio de GitHub bigbluebutton/bigbluebutton (CVE-2021-4143)
Fecha de publicación:
19/01/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Genérico en el repositorio de GitHub bigbluebutton/bigbluebutton versiones anteriores a 2.4.0
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2022

Vulnerabilidad en la función add en la lista de pestañas de operaciones en OneBlog (CVE-2021-46025)
Fecha de publicación:
19/01/2022
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross SIte Scripting (XSS) en OneBlog versiones anteriores a 2.2.8 incluyéndola. por medio de la función add en la lista de pestañas de operaciones en segundo plano
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2022

Vulnerabilidad en los archivos de registro en log4js-node (CVE-2022-21704)
Fecha de publicación:
19/01/2022
Idioma:
Español
log4js-node es un port de log4js a node.js. En las versiones afectadas, los permisos de archivo por defecto para los archivos de registro creados por los anexos file, fileSync y dateFile son world-readable (en unix). Esto podría causar problemas si los archivos de registro contienen información confidencial. Esto afectaría a cualquier usuario que no haya proporcionado sus propios permisos para los archivos por medio del parámetro mode en la configuración. Se aconseja a usuarios a actualizar
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2023

Vulnerabilidad en Istio (CVE-2022-21679)
Fecha de publicación:
19/01/2022
Idioma:
Español
Istio es una plataforma abierta para conectar, administrar y asegurar microservicios. En Istio versiones 1.12.0 y 1.12.1 la política de autorización con hosts y notHosts podría ser accidentalmente omitida para la acción ALLOW o rechazada inesperadamente para la acción DENY durante la actualización de 1.11 a 1.12.0/1.12.1. Istio 1.12 soporta los campos hosts y notHosts en la política de autorización con una nueva API Envoy enviada con el plano de datos 1.12. Un error en las versiones 1.12.0 y 1.12.1 usa incorrectamente la nueva API de Envoy con el plano de datos 1.11. Esto causará que los campos hosts y notHosts siempre coincidan independientemente del valor real del encabezado del host cuando sean mezclados el plano de control 1.12.0/1.12.1 y el plano de datos 1.11. Se aconseja a usuarios actualizar o no mezclar el plano de control 1.12.0/1.12.1 con el plano de datos 1.11 si son usados los campos hosts o notHosts en la política de autorización
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/01/2022

Vulnerabilidad en Istio (CVE-2022-21701)
Fecha de publicación:
19/01/2022
Idioma:
Español
Istio es una plataforma abierta para conectar, administrar y asegurar microservicios. En las versiones 1.12.0 y 1.12.1 Istio es vulnerable a un ataque de escalada de privilegios. Los usuarios que presentan permiso "CREATE" para los objetos "gateways.gateway.networking.k8s.io" pueden escalar este privilegio para crear otros recursos a los que no tienen acceso, como "Pod". Esta vulnerabilidad afecta sólo a una característica de nivel Alpha, la API de Kubernetes Gateway. No es lo mismo que el tipo de Gateway de Istio (gateways.networking.istio.io), que no es vulnerable. Se recomienda a los usuarios que actualicen para resolver este problema. Los usuarios que no puedan actualizar deberán implementar alguna de las siguientes medidas que evitarán esta vulnerabilidad: Eliminar el CustomResourceDefinition de gateways.gateway.networking.k8s.io, establecer la variable de entorno PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER=true en Istiod, o eliminar los permisos CREATE para los objetos de gateways.gateway.networking.k8s.io de los usuarios que no sean confiables
Gravedad CVSS v3.1: ALTA
Última modificación:
27/01/2022

Vulnerabilidad en los archivos temporales de los usuarios en Ipython (CVE-2022-21699)
Fecha de publicación:
19/01/2022
Idioma:
Español
IPython (Interactive Python) es un shell de comandos para la computación interactiva en múltiples lenguajes de programación, desarrollado originalmente para el lenguaje de programación Python. Las versiones afectadas están sujetas a una vulnerabilidad de ejecución de código arbitrario conseguida al no administrar apropiadamente los archivos temporales de los usuarios. Esta vulnerabilidad permite a un usuario ejecutar código como otro en la misma máquina. Se recomienda a todos los usuarios que actualicen
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo app/admin/routing/edit-bgp-mapping-search.php en el parámetro "subnet" en PhpIPAM (CVE-2022-23046)
Fecha de publicación:
19/01/2022
Idioma:
Español
PhpIPAM versión v1.4.4, permite a un usuario administrador autenticado inyectar sentencias SQL en el parámetro "subnet" mientras busca una subred por medio del archivo app/admin/routing/edit-bgp-mapping-search.php
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2022

Vulnerabilidad en el parámetro "Site title" en PhpIPAM (CVE-2022-23045)
Fecha de publicación:
19/01/2022
Idioma:
Español
PhpIPAM versión v1.4.4, permite a un usuario administrador autenticado inyectar código JavaScript persistente dentro del parámetro "Site title" mientras es actualizada la configuración del sitio. El parámetro "Site title" es inyectado en varias ubicaciones que desencadenan el ataque de tipo XSS
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2022

Vulnerabilidad en Blowfish (CVE-2021-23842)
Fecha de publicación:
19/01/2022
Idioma:
Español
La comunicación con el AMC2 usa un algoritmo criptográfico de última generación para el cifrado simétrico llamado Blowfish. Un atacante podría recuperar la clave del firmware para descifrar el tráfico de red entre el AMC2 y el sistema anfitrión. Así, un atacante puede explotar esta vulnerabilidad para descifrar y modificar el tráfico de red, descifrar e investigar el archivo de firmware del dispositivo y cambiar la configuración del mismo. El atacante necesita tener acceso a la red local, normalmente incluso a la misma subred
Gravedad CVSS v3.1: ALTA
Última modificación:
28/01/2022
Suscribirse a Vulnerabilidades