Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el campo "authProvider" de la clase "_Session" en "createdWith" en Parse Server (CVE-2021-39138)
Fecha de publicación:
19/08/2021
Idioma:
Español
Parse Server es un backend de código abierto que puede desplegarse en cualquier infraestructura que pueda ejecutar Node.js. Los desarrolladores pueden usar la API REST para registrar usuarios y también permitir a usuarios registrarse anónimamente. Versiones anteriores a 4.5.1, cuando un usuario anónimo es registrado por primera vez usando REST, el servidor creaba la sesión incorrectamente. En particular, el campo "authProvider" de la clase "_Session" en "createdWith" muestra que el usuario se ha registrado creando una contraseña. Si un desarrollador depende posteriormente del campo "createdWith" para proporcionar un nivel de acceso diferente entre un usuario con contraseña y un usuario anónimo, el servidor clasifica incorrectamente el tipo de sesión como creada con un "password". El servidor no usa actualmente "createdWith" para tomar decisiones sobre las funciones internas, por lo que si un desarrollador no está usando "createdWith" directamente, no está afectado. La vulnerabilidad sólo afecta a usuarios que dependen de "createdWith" al usarlo directamente. El problema está parcheado en Parse Server versión 4.5.1. Como solución, no use el campo de sesión "createdWith" para tomar decisiones si se permite el acceso anónimo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2022

Vulnerabilidad en los parámetros ElasticsearchWriter, GelfWriter, InfluxdbWriter e Influxdb2Writer en Icinga (CVE-2021-37698)
Fecha de publicación:
19/08/2021
Idioma:
Español
Icinga es un sistema de monitorización que comprueba la disponibilidad de los recursos de red, notifica a usuarios de las interrupciones y genera datos de rendimiento para la elaboración de informes. En las versiones 2.5.0 a 2.13.0, los parámetros ElasticsearchWriter, GelfWriter, InfluxdbWriter e Influxdb2Writer no verifican el certificado del servidor a pesar de que se haya especificado una autoridad de certificación. Las instancias de Icinga 2 que se conectan a cualquiera de las bases de datos de series temporales (TSDB) mencionadas usando TLS sobre una infraestructura falsificable deben actualizar inmediatamente a versiones 2.13.1, 2.12.6 o 2.11.11 para solucionar el problema. Dichas instancias también deben cambiar las credenciales (si las presenta) usadas por la funcionalidad TSDB writer para autenticarse contra la TSDB. No se presentan soluciones aparte de la actualización.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

CVE-2013-0344
Fecha de publicación:
19/08/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2013. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2013-1791
Fecha de publicación:
19/08/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2013. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

CVE-2013-1837
Fecha de publicación:
19/08/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el parámetro editid en Local Services Search Engine Management System Project (CVE-2021-27999)
Fecha de publicación:
19/08/2021
Idioma:
Español
Se ha detectado una vulnerabilidad de inyección SQL en el parámetro editid en Local Services Search Engine Management System Project versión 1.0. Esta vulnerabilidad da a usuarios administradores la habilidad de volcar todos los datos de la base de datos.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en de cargas útiles en los campos Name y Address en Local Services Search Engine Management System Project (CVE-2021-28000)
Fecha de publicación:
19/08/2021
Idioma:
Español
Se ha detectado una vulnerabilidad de tipo cross-site scripting persistente en Local Services Search Engine Management System Project versión 1.0, que permite a atacantes remotos ejecutar código arbitrario por medio de cargas útiles diseñadas que se introducen en los campos Name y Address.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2021

Vulnerabilidad en una carga útil en el campo URL en el parámetro Comments en Textpattern CMS (CVE-2021-28001)
Fecha de publicación:
19/08/2021
Idioma:
Español
Se ha detectado una vulnerabilidad de tipo cross-site scripting en el parámetro Comments en Textpattern CMS versión 4.8.4, que permite a atacantes remotos ejecutar código arbitrario por medio de una carga útil diseñada introducida en el campo URL. La vulnerabilidad es desencadenada cuando los usuarios visitan https://site.com/articles/welcome-to-your-site#comments-head.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2021

Vulnerabilidad en una carga útil en el campo URL en el parámetro Excerpt de Textpattern CMS (CVE-2021-28002)
Fecha de publicación:
19/08/2021
Idioma:
Español
Se ha detectado una vulnerabilidad de tipo cross site scripting persistente en el parámetro Excerpt de Textpattern CMS versión 4.9.0, que permite a atacantes remotos ejecutar código arbitrario por medio de una carga útil diseñada introducida en el campo de la URL. La vulnerabilidad es desencadenada cuando los usuarios visitan la página "Articles".
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2021

Vulnerabilidad en una carga útil en el campo Category en el módulo Add Categories de Vehicle Parking Management System (CVE-2021-27822)
Fecha de publicación:
19/08/2021
Idioma:
Español
Una vulnerabilidad de tipo cross site scripting (XSS) persistente en el módulo Add Categories de Vehicle Parking Management System versión 1.0, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada en el campo Category.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2023

Vulnerabilidad en XeroSecurity Sn1per (CVE-2021-39273)
Fecha de publicación:
19/08/2021
Idioma:
Español
En XeroSecurity Sn1per versión 9.0 (versión gratuita), se ajustan permisos no seguros (0777) durante la ejecución de la aplicación, permitiendo a un usuario no privilegiado modificar la aplicación, los módulos y los archivos de configuración. Esto conlleva a una ejecución de código arbitrario con privilegios de root.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2021

Vulnerabilidad en los permisos de directorio en XeroSecurity Sn1per (CVE-2021-39274)
Fecha de publicación:
19/08/2021
Idioma:
Español
En XeroSecurity Sn1per versión 9.0 (versión gratuita), se establecen permisos de directorio no seguros (0777) durante la instalación, permitiendo a un usuario no privilegiado modificar la aplicación principal y el archivo de configuración de la aplicación. Esto resulta en una ejecución de código arbitrario con privilegios de root.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
30/08/2021
Suscribirse a Vulnerabilidades