Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función main en gif2apng (CVE-2021-45910)
Fecha de publicación:
28/12/2021
Idioma:
Español
Se ha detectado un problema en gif2apng versión 1.9. Se presenta un desbordamiento del búfer en la región heap de la memoria en la función main. Permite a un atacante escribir datos fuera del búfer asignado. El atacante presenta control sobre una parte de la dirección en la que son escritos los datos, control sobre los datos escritos y (hasta determinado punto) control sobre la cantidad de datos que son escritos
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2022

Vulnerabilidad en la función main en gif2apng (CVE-2021-45911)
Fecha de publicación:
28/12/2021
Idioma:
Español
Se ha detectado un problema en gif2apng versión 1.9. Se presenta un desbordamiento del búfer en la región heap de la memoria en la función main. Permite a un atacante escribir 2 bytes fuera de los límites del búfer
Gravedad CVSS v3.1: ALTA
Última modificación:
24/03/2022

Vulnerabilidad en la función DecodeLZW en gif2apng (CVE-2021-45909)
Fecha de publicación:
28/12/2021
Idioma:
Español
Se ha detectado un problema en gif2apng versión 1.9. Se presenta una vulnerabilidad de desbordamiento de búfer en la región heap de la memoria en la función DecodeLZW. Permite a un atacante escribir una gran cantidad de datos arbitrarios fuera de los límites de un búfer
Gravedad CVSS v3.1: ALTA
Última modificación:
06/04/2022

Vulnerabilidad en la cookie de sesión de usuario en /damicms-master/admin.php?s=/Article/doedit de DamiCMS (CVE-2020-21236)
Fecha de publicación:
27/12/2021
Idioma:
Español
Una vulnerabilidad en /damicms-master/admin.php?s=/Article/doedit de DamiCMS versión v6.0, permite a atacantes comprometer y suplantar cuentas de usuario por medio de la obtención de la cookie de sesión de usuario
Gravedad CVSS v3.1: ALTA
Última modificación:
10/01/2022

Vulnerabilidad en el cuadro de inicio de sesión de usuario de CSCMS (CVE-2020-21238)
Fecha de publicación:
27/12/2021
Idioma:
Español
Un problema en el cuadro de inicio de sesión de usuario de CSCMS versión v4.0, permite a atacantes secuestrar cuentas de usuario por medio de ataques de fuerza bruta
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/01/2022

Vulnerabilidad en el cuadro de inicio de sesión de usuario de LJCMS (CVE-2020-21237)
Fecha de publicación:
27/12/2021
Idioma:
Español
Un problema en el cuadro de inicio de sesión de usuario de LJCMS versión v1.11, permite a atacantes secuestrar cuentas de usuario por medio de ataques de fuerza bruta
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/01/2022

Vulnerabilidad en la pantalla Port Forwards Add Name en OpenWrt (CVE-2021-45904)
Fecha de publicación:
27/12/2021
Idioma:
Español
OpenWrt versión 21.02.1 permite un ataque de tipo XSS por medio de la Pantalla Port Forwards Add Name
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2023

Vulnerabilidad en la Pantalla Traffic Rules Name en OpenWrt (CVE-2021-45905)
Fecha de publicación:
27/12/2021
Idioma:
Español
OpenWrt versión 21.02.1 permite un ataque de tipo XSS por medio de la Pantalla Traffic Rules Name
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2023

Vulnerabilidad en la Pantalla NAT Rules Name en OpenWrt (CVE-2021-45906)
Fecha de publicación:
27/12/2021
Idioma:
Español
OpenWrt versión 21.02.1 permite XSS por medio de la Pantalla NAT Rules Name
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2023

Vulnerabilidad en Brave Desktop (CVE-2021-45884)
Fecha de publicación:
27/12/2021
Idioma:
Español
En Brave Desktop versiones 1.17 hasta 1.33 anteriores a 1.33.106, cuando es habilitado el bloqueo de anuncios basado en CNAME y una extensión de proxy con una reserva SOCKS, se emiten peticiones DNS adicionales fuera de la extensión de proxy usando la configuración DNS del sistema, resultando en una divulgación de información. NOTA: este problema se presenta debido a una corrección incompleta de CVE-2021-21323 y CVE-2021-22916
Gravedad CVSS v3.1: ALTA
Última modificación:
07/01/2022

Vulnerabilidad en una llamada a la API HTTP en MinIO (CVE-2021-43858)
Fecha de publicación:
27/12/2021
Idioma:
Español
MinIO es una aplicación nativa de Kubernetes para el almacenamiento en la nube. En versiones anteriores a "RELEASE.2021-12-27T07-23-18Z", un cliente malicioso puede elaborar manualmente una llamada a la API HTTP que permite actualizar la política de un usuario y alcanzar mayores privilegios. El parche de la versión "RELEASE.2021-12-27T07-23-18Z" cambia el tipo de cuerpo de petición aceptado y elimina la posibilidad de aplicar cambios de política mediante esta API. Se presenta una solución para esta vulnerabilidad: El cambio de contraseñas puede deshabilitarse al añadir una regla explícita "Deny" para deshabilitar la API para los usuarios
Gravedad CVSS v3.1: ALTA
Última modificación:
09/08/2022

Vulnerabilidad en is_ctc_admin=1 al archivo login_web_app.cgi y el uso de Import Config File en los dispositivos Nokia FastMile 3TG00118ABAD52 (CVE-2021-45896)
Fecha de publicación:
27/12/2021
Idioma:
Español
Los dispositivos Nokia FastMile 3TG00118ABAD52 permiten una escalada de privilegios por parte de un usuario autenticado mediante is_ctc_admin=1 al archivo login_web_app.cgi y el uso de Import Config File
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023
Suscribirse a Vulnerabilidades