Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en IBM i (CVE-2021-38876)
Fecha de publicación:
30/12/2021
Idioma:
Español
IBM i versiones 7.2, 7.3 y 7.4, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la interfaz de usuario de la web, alterando así la funcionalidad prevista y conllevando potencialmente una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 208404.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2022

Vulnerabilidad en los dispositivos iBall WRD12EN (CVE-2020-29292)
Fecha de publicación:
30/12/2021
Idioma:
Español
Los dispositivos iBall WRD12EN versión 1.0.0, permiten ataques de tipo cross-site request forgery (CSRF), como es demostrado al habilitar la configuración de DNS o modificar el rango de direcciones IP.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2022

Vulnerabilidad en jQuery Terminal Emulator (CVE-2021-43862)
Fecha de publicación:
30/12/2021
Idioma:
Español
jQuery Terminal Emulator es un plugin para crear intérpretes de línea de comandos en sus aplicaciones. Las versiones anteriores a 2.31.1 contienen una vulnerabilidad de tipo cross-site scripting (XSS) de bajo impacto y limitada. El código de la carga útil de tipo XSS es siempre visible, pero un atacante puede usar otras técnicas para ocultar el código que visualiza la víctima. Si la aplicación usa la opción "execHash" y ejecuta código desde la URL, el atacante puede usar esta URL para ejecutar su código. El alcance es limitado porque el atributo javascript usado es añadido a la etiqueta span, por lo que no es posible una ejecución automática como con "onerror" en imágenes. Este problema se ha corregido en versión 2.31.1. Como solución, el usuario puede usar un formato que envuelva toda la entrada del usuario y que no sea op. El código de esta solución está disponible en el aviso de seguridad de GitHub. La corrección sólo funcionará cuando el usuario de la biblioteca no esté usando diferentes formateadores (por ejemplo, para resaltar el código de manera diferente).<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2022

Vulnerabilidad en las máquinas de los lectores de diagramas en Mermaid (CVE-2021-43861)
Fecha de publicación:
30/12/2021
Idioma:
Español
Mermaid es una herramienta de diagramación y gráficos basada en Javascript que usa definiciones de texto inspiradas en Markdown y un renderizador para crear y modificar diagramas complejos. Antes de la versión 8.13.8, los diagramas maliciosos pueden ejecutar código javascript en las máquinas de los lectores de diagramas. Los usuarios deben actualizar a la versión 8.13.8 para recibir un parche. No se presentan soluciones conocidas aparte de la actualización.<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2023

Vulnerabilidad en Quectel UC20 UMTS/HSPA+ UC20 (CVE-2021-45815)
Fecha de publicación:
30/12/2021
Idioma:
Español
Quectel UC20 UMTS/HSPA+ UC20 versión 6.3.14, está afectado por una vulnerabilidad de tipo Cross Site Scripting (XSS).<br />
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2022

Vulnerabilidad en SAFARI Montage (CVE-2021-45818)
Fecha de publicación:
30/12/2021
Idioma:
Español
SAFARI Montage 8.7.32 está afectado por una vulnerabilidad de inyección de CRLF que puede provocar la división de la respuesta HTTP
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2023

Vulnerabilidad en Emerson XWEB 300D EVO (CVE-2021-45427)
Fecha de publicación:
30/12/2021
Idioma:
Español
Emerson XWEB 300D EVO versión 3.0.7--3ee403, está afectado por: borrado arbitrario no autenticado de archivos debido a un salto de ruta. Un atacante puede navegar y eliminar archivos sin ninguna autenticación debido a un control de acceso incorrecto y a un salto de directorios.<br />
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/01/2022

Vulnerabilidad en mruby (CVE-2021-4188)
Fecha de publicación:
30/12/2021
Idioma:
Español
mruby es vulnerable a la desviación de puntero nulo<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
06/01/2022

Vulnerabilidad en Microsoft SharePoint (CVE-2021-43876)
Fecha de publicación:
29/12/2021
Idioma:
Español
Una vulnerabilidad de Elevación de Privilegios en Microsoft SharePoint.<br />
Gravedad CVSS v3.1: ALTA
Última modificación:
28/12/2023

Vulnerabilidad en ForeScout - SecureConnector Local Service DoS (CVE-2021-36724)
Fecha de publicación:
29/12/2021
Idioma:
Español
ForeScout - SecureConnector Local Service DoS - Un usuario poco privilegiado que no tiene permisos para cerrar el servicio del conector seguro escribe una gran cantidad de caracteres en installationPath. Esto causará el desbordamiento del búfer y se anule la cookie de la pila causando que el servicio se bloquee
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/01/2022

Vulnerabilidad en un archivo SVG en Requarks wiki.js (CVE-2021-25993)
Fecha de publicación:
29/12/2021
Idioma:
Español
En Requarks wiki.js, versiones 2.0.0-beta.147 a 2.5.255, están afectadas por una vulnerabilidad de tipo XSS almacenado, donde Un usuario poco privilegiado (editor) puede cargar un archivo SVG que contenga JavaScript malicioso mientras carga activos en la página. Esto enviará los tokens JWT al servidor del atacante y conllevará a una toma de control de la cuenta cuando la víctima acceda a ella
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/01/2022

Vulnerabilidad en Stormshield Network Security (SNS) (CVE-2021-45885)
Fecha de publicación:
29/12/2021
Idioma:
Español
Se ha detectado un problema en Stormshield Network Security (SNS) versiones 4.2.2 a 4.2.7 (corregido en versión 4.2.8). En un escenario específico de actualización-migración, el primer cambio de contraseña SSH no borra correctamente la contraseña antigua
Gravedad CVSS v3.1: ALTA
Última modificación:
11/01/2022
Suscribirse a Vulnerabilidades