Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el token CSRF para la página Cgi/admindb.py admindb en GNU Mailman (CVE-2021-43332)
Fecha de publicación:
12/11/2021
Idioma:
Español
En GNU Mailman versiones anteriores a 2.1.36, el token CSRF para la página Cgi/admindb.py admindb contiene una versión encriptada de la contraseña del administrador de la lista. Esto podría ser potencialmente descifrado por un moderador por medio de un ataque de fuerza bruta fuera de línea
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el localizador de servicios de NI (nisvcloc.exe) en Windows (CVE-2021-42563)
Fecha de publicación:
12/11/2021
Idioma:
Español
Se presenta una ruta de servicio no citada en el localizador de servicios de NI (nisvcloc.exe) en versiones anteriores a 18.0 en Windows. Esto puede permitir a un usuario local autorizado insertar código arbitrario en la ruta de servicio no citada y escalar privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
16/11/2021

Vulnerabilidad en el servidor de Jamf Pro (CVE-2021-39303)
Fecha de publicación:
12/11/2021
Idioma:
Español
El servidor de Jamf Pro anterior a la versión 10.32.0 tiene una vulnerabilidad SSRF, también conocida como PI-006352. NOTA: Jamf Nation también publicará un artículo sobre esta vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/12/2021

Vulnerabilidad en las contraseñas de las conexiones a las bases de datos de los usuarios en Apache Superset (CVE-2021-41972)
Fecha de publicación:
12/11/2021
Idioma:
Español
Apache Superset versiones hasta 1.3.1 incluyéndola, permitía una filtración de las contraseñas de las conexiones a las bases de datos de los usuarios autenticados. Se podía acceder a esta información de forma no trivial
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2022

Vulnerabilidad en los contratos actualizables que usan "UUPSUpgradeable" en OpenZeppelin Contracts (CVE-2021-41264)
Fecha de publicación:
12/11/2021
Idioma:
Español
OpenZeppelin Contracts es una biblioteca para el desarrollo de contratos inteligentes. En las versiones afectadas, los contratos actualizables que usan "UUPSUpgradeable" pueden ser vulnerables a un ataque que afecta a los contratos de implementación no inicializada. Se incluye una corrección en la versión 4.3.2 de "@openzeppelin/contracts" y "@openzeppelin/contracts-upgradeable". Para usuarios que no puedan actualizar; inicialice los contratos de implementación usando "UUPSUpgradeable" al invocar la función inicializadora (normalmente llamada "initialize"). Se proporciona un ejemplo [en el foro](https://forum.openzeppelin.com/t/security-advisory-initialize-uups-implementation-contracts/15301)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/11/2021

Vulnerabilidad en un script de shell en un Secreto en kustomize-controller de Kubernetes (CVE-2021-41254)
Fecha de publicación:
12/11/2021
Idioma:
Español
kustomize-controller es un operador de Kubernetes, especializado en la ejecución de pipelines de entrega continua para infraestructuras y cargas de trabajo definidas con manifiestos de Kubernetes y montadas con Kustomize. Los usuarios que pueden crear secretos de Kubernetes, cuentas de servicio y objetos de personalización de Flux, podrían ejecutar comandos dentro del contenedor kustomize-controller al insertar un script de shell en un Secreto de Kubernetes. Esto puede ser usado para ejecutar comandos "kubectl" bajo la Cuenta de Servicio de kustomize-controller, permitiendo así que un usuario autenticado de Kubernetes obtenga privilegios de administrador de cluster. En las versiones afectadas, los entornos multitenant en los que los usuarios que no son administradores tienen permisos para crear objetos de personalización de Flux están afectados por este problema. Esta vulnerabilidad fue corregida en kustomize-controller versión v0.15.0 (incluida en flux2 versión v0.18.0) publicada el 08-10-2021. A partir de la versión v0.15, el kustomize-controller ya no ejecuta comandos shell en el Sistema Operativo del contenedor y el binario "kubectl" ha sido eliminado de la imagen del contenedor. Para evitar la creación de cuentas de servicio de Kubernetes con "secrets" en espacios de nombres propiedad de los inquilinos, puede usarse un webhook de comprobación de Kubernetes como Gatekeeper OPA o Kyverno
Gravedad CVSS v3.1: ALTA
Última modificación:
17/11/2021

Vulnerabilidad en la función uri.parseUri en Nim (CVE-2021-41259)
Fecha de publicación:
12/11/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: None. Reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority. Notes: None.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en IBM Tivoli Key Lifecycle Manager (CVE-2021-38985)
Fecha de publicación:
12/11/2021
Idioma:
Español
IBM Tivoli Key Lifecycle Manager versiones 3.0, 3.0.1, 4.0 y 4.1, recibe entradas o datos, pero no comprueba o comprueba incorrectamente que la entrada presenta las propiedades necesarias para procesar los datos de forma segura y correcta
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2021

Vulnerabilidad en el flag "HttpOnly" en IBM Security SiteProtector System (CVE-2020-4146)
Fecha de publicación:
12/11/2021
Idioma:
Español
IBM Security SiteProtector System versión 3.1.1, podría permitir a un atacante remoto obtener información confidencial, causado por una falta del flag "HttpOnly". Un atacante remoto podría aprovechar esta vulnerabilidad para obtener información confidencial. IBM X-Force ID: 174129
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en IBM Tivoli Key Lifecycle Manager (CVE-2021-38973)
Fecha de publicación:
12/11/2021
Idioma:
Español
IBM Tivoli Key Lifecycle Manager versiones 3.0, 3.0.1, 4.0 y 4.1, recibe entradas o datos, pero no comprueba o comprueba incorrectamente que la entrada presenta las propiedades necesarias para procesar los datos de forma segura y correcta
Gravedad CVSS v3.1: BAJA
Última modificación:
16/11/2021

Vulnerabilidad en IBM Tivoli Key Lifecycle Manager (CVE-2021-38972)
Fecha de publicación:
12/11/2021
Idioma:
Español
IBM Tivoli Key Lifecycle Manager versiones 3.0, 3.0.1, 4.0 y 4.1, recibe entradas o datos, pero no comprueba o comprueba incorrectamente que la entrada presenta las propiedades necesarias para procesar los datos de forma segura y correcta
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2021

Vulnerabilidad en IBM Security SiteProtector System (CVE-2020-4140)
Fecha de publicación:
12/11/2021
Idioma:
Español
IBM Security SiteProtector System versión 3.1.1, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 174052
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/11/2021
Suscribirse a Vulnerabilidades