Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Dell EMC CloudLink (CVE-2021-36335)
Fecha de publicación:
23/11/2021
Idioma:
Español
Dell EMC CloudLink versiones 7.1 y todas las versiones anteriores contienen una vulnerabilidad de Comprobación de Entrada Inapropiada. Un atacante remoto con pocos privilegios, puede potencialmente explotar esta vulnerabilidad, conllevando a una ejecución de archivos arbitrarios en el servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
27/11/2021

Vulnerabilidad en IBM Sterling Connect:Direct Web Services (CVE-2021-38891)
Fecha de publicación:
23/11/2021
Idioma:
Español
IBM Sterling Connect:Direct Web Services versiones 1.0 y 6.0, usa algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 209508
Gravedad CVSS v3.1: ALTA
Última modificación:
29/11/2021

Vulnerabilidad en Racadm en Dell iDRAC9 e iDRAC 8 (CVE-2021-36301)
Fecha de publicación:
23/11/2021
Idioma:
Español
Dell iDRAC 9 versiones anteriores a 4.40.40.00 e iDRAC 8 versiones anteriores a 2.80.80.80, contienen un Desbordamiento del Búfer de Pila en Racadm. Un atacante remoto autenticado puede explotar potencialmente esta vulnerabilidad para controlar la ejecución de procesos y conseguir acceso al sistema operativo subyacente
Gravedad CVSS v3.1: ALTA
Última modificación:
25/04/2022

Vulnerabilidad en Dell EMC Networker (CVE-2021-36311)
Fecha de publicación:
23/11/2021
Idioma:
Español
Dell EMC Networker versiones anteriores a la 19.5, contienen una vulnerabilidad de Autorización Inapropiada. Cualquier usuario local malicioso con privilegios de usuario de Networker puede explotar esta vulnerabilidad para cargar archivos maliciosos en ubicaciones no autorizadas y ejecutarlos
Gravedad CVSS v3.1: ALTA
Última modificación:
25/04/2022

Vulnerabilidad en la valoración enviada en el plugin Reviews Plus de WordPress (CVE-2021-24894)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Reviews Plus de WordPress versiones anteriores a 1.2.14, no comprueba la valoración enviada, permitiendo el envío de enteros largos, causando una Denegación de Servicio en la sección de valoraciones cuando un usuario autenticado envía dicha valoración y las valoraciones están configuradas para ser mostradas en el post/página
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2022

Vulnerabilidad en la página de registro de estudiantes en el plugin Tutor LMS de WordPress (CVE-2021-24873)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Tutor LMS de WordPress versiones anteriores a 1.9.11, no sanea ni escapa de la entrada del usuario antes de devolverla en atributos en la página de registro de estudiantes, conllevando un problema de tipo Cross-Site Scripting Reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/11/2021

Vulnerabilidad en algunas de las configuraciones en el plugin Advanced Access Manager de WordPress (CVE-2021-24830)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Advanced Access Manager de WordPress versiones anteriores a 6.8.0, no escapa de algunas de sus configuraciones cuando las emite, que permite a usuarios con privilegios elevados llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando la capacidad unfiltered_html no está permitida
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/01/2024

Vulnerabilidad en el parámetro ic-settings-search en el plugin eCommerce Product Catalog para WordPress (CVE-2021-24875)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin eCommerce Product Catalog para WordPress versiones anteriores a 3.0.39, no escapa del parámetro ic-settings-search antes de devolverlo a la página en un atributo, conllevando a un problema de tipo Cross-Site Scripting Reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/11/2021

Vulnerabilidad en la entrada del usuario añadida al DOM en el plugin Elementor Website Builder de WordPress (CVE-2021-24891)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Elementor Website Builder de WordPress versiones anteriores a 3.4.8, no sanea ni escapa de la entrada del usuario añadida al DOM por medio de un hash malicioso, resultando en un problema de tipo Cross-Site Scripting DOM
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/12/2021

Vulnerabilidad en el parámetro de petición UID en McAfee Policy Auditor (CVE-2021-31852)
Fecha de publicación:
23/11/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting Reflejado en McAfee Policy Auditor versiones anteriores a 6.5.2, permite a un atacante remoto no autenticado inyectar secuencias de comandos web o HTML arbitrarias por medio del parámetro de petición UID. El script malicioso es reflejado sin modificaciones en la interfaz basada en la web de Policy Auditor, que podría conllevar a una extracción del token de sesión o las credenciales de inicio de sesión del usuario final. Estas pueden ser usadas para acceder a aplicaciones adicionales de seguridad crítica o realizar peticiones arbitrarias entre dominios
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2023

Vulnerabilidad en los parámetros orderby y order en el plugin MainWP Child de WordPress (CVE-2021-24877)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin MainWP Child de WordPress versiones anteriores a 4.1.8, no comprueba los parámetros orderby y order antes de usarlos en una sentencia SQL, conllevando a una inyección SQL explotable por usuarios con altos privilegios como el administrador cuando es instalado el plugin Backup and Staging by WP Time Capsule
Gravedad CVSS v3.1: ALTA
Última modificación:
26/11/2021

Vulnerabilidad en los campos "Title" de la diapositiva, "Description" y "Title" de la galería en el plugin Slideshow Gallery de WordPress (CVE-2021-24882)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Slideshow Gallery de WordPress versiones anteriores a 1.7.4, no sanea ni escapa de los campos "Title" de la diapositiva, "Description" y "Title" de la galería, que podría permitir a usuarios con privilegios elevados llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando el unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/11/2021
Suscribirse a Vulnerabilidades