Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en credenciales del usuario para la configuración del almacenamiento externo en Nextcloud (CVE-2021-22877)
Fecha de publicación:
03/03/2021
Idioma:
Español
Una falta de comprobación de usuario en Nextcloud versiones anteriores a 20.0.6, inadvertidamente llena las propias credenciales del usuario para la configuración del almacenamiento externo de otros usuarios cuando aún no están configuradas
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en intentos de conexión con un "unknownProtocol" en descriptores de archivos en Node.js (CVE-2021-22883)
Fecha de publicación:
03/03/2021
Idioma:
Español
Node.js versiones anteriores a 10.24.0, 12.21.0, 14.16.0 y 15.10.0, es vulnerable a un ataque de denegación de servicio cuando son establecidos demasiados intentos de conexión con un "unknownProtocol". Esto conlleva a una filtración de descriptores de archivos. Si es configurado un límite de descriptor de archivo en el sistema, entonces el servidor no puede aceptar nuevas conexiones e impide que el proceso también se abra, por ejemplo, un archivo. Si no es configurado ningún límite de descriptor de archivo, esto conllevará a un uso excesivo de la memoria y causará al sistema quedarse sin memoria
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en una aplicación web logupload en VMware View Planner (CVE-2021-21978)
Fecha de publicación:
03/03/2021
Idioma:
Español
VMware View Planner versión 4.x anterior a 4.6 Security Parche 1, contiene una vulnerabilidad de ejecución de código remota . Una comprobación inapropiada de la entrada y una falta de autorización conlleva a una carga de archivos arbitraria en una aplicación web logupload. Un atacante no autorizado con acceso de red a View Planner Harness podría cargar y ejecutar un archivo especialmente diseñado que conduzca a una ejecución de código remota dentro del contenedor logupload
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en el uso de una clave para verificar la comunicación de los controladores Logix Rockwell Automation Studio 5000 Logix Designer y RSLogix 5000 (CVE-2021-22681)
Fecha de publicación:
03/03/2021
Idioma:
Español
Rockwell Automation Studio 5000 Logix Designer versiones 21 y posteriores, y RSLogix 5000 versiones 16 hasta 20, usan una clave para verificar que los controladores Logix se estén comunicando con Rockwell Automation CompactLogix 1768, 1769, 5370, 5380, 5480: ControlLogix 5550, 5560, 5570, 5580; DriveLogix 5560, 5730, 1794-L34; Compact GuardLogix 5370, 5380; GuardLogix 5570, 5580; SoftLogix 5800. Rockwell Automation Studio 5000 Logix Designer versiones 21 y posteriores y RSLogix 5000: Versiones 16 hasta 20, son vulnerables porque un atacante no autenticado podría pasar por alto este mecanismo de comprobación y autenticarse con Rockwell Automation CompactLogix 1768, 1769, 5370, 5380, 5480: ControlLogix 5550 , 5560, 5570, 5580; DriveLogix 5560, 5730, 1794-L34; Compact GuardLogix 5370, 5380; GuardLogix 5570, 5580; SoftLogix 5800
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/03/2026

Vulnerabilidad en la carga en el archivo includes/classwphb-sessions.php en la cookie thimpress_hotel_booking_1 en el plugin wp-hotel-booking para WordPress (CVE-2020-29047)
Fecha de publicación:
03/03/2021
Idioma:
Español
El plugin wp-hotel-booking versiones hasta 1.10.2 para WordPress, permite a atacantes remotos ejecutar código arbitrario debido a una operación de deserializar en la cookie thimpress_hotel_booking_1 en la carga en el archivo includes/classwphb-sessions.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/03/2021

Vulnerabilidad en almacenamiento de las contraseñas de Nextcloud Server (CVE-2020-8296)
Fecha de publicación:
03/03/2021
Idioma:
Español
Nextcloud Server versiones anteriores a 20.0.0, almacena las contraseñas en un formato recuperable inclusive cuando el almacenamiento externo no está configurado
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la funcionalidad AudioSourceProviderGStreamer de Webkit WebKitGTK (CVE-2020-13558)
Fecha de publicación:
03/03/2021
Idioma:
Español
Se presenta una vulnerabilidad de ejecución de código en la funcionalidad AudioSourceProviderGStreamer de Webkit WebKitGTK versión2.30.1. Una página web especialmente diseñada puede conllevar a un uso de la memoria previamente liberada
Gravedad CVSS v3.1: ALTA
Última modificación:
30/07/2022

Vulnerabilidad en un archivo AMF en la funcionalidad AMF File AMFParserContext::endElement() de Slic3r libslic3r y Master Commit 92abbc42 (CVE-2020-28591)
Fecha de publicación:
03/03/2021
Idioma:
Español
Se presenta una vulnerabilidad de lectura fuera de límites en la funcionalidad AMF File AMFParserContext::endElement() de Slic3r libslic3r versión 1.3.0 y Master Commit 92abbc42. Un archivo AMF especialmente diseñado puede conllevar a una divulgación de información. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la funcionalidad password reset de Epignosis EfrontPro (CVE-2020-28597)
Fecha de publicación:
03/03/2021
Idioma:
Español
Se presenta una vulnerabilidad de seed predecible en la funcionalidad password reset de Epignosis EfrontPro versión 5.2.21. Al predecir el seed, es posible generar el token de restablecimiento de contraseña correcto 1 vez. Un atacante puede visitar el restablecimiento de contraseña proporcionando el token de restablecimiento de contraseña para restablecer la contraseña de una cuenta de su elección
Gravedad CVSS v3.1: ALTA
Última modificación:
31/08/2022

Vulnerabilidad en el procesamiento de archivos de proyectos en Fatek FvDesigner (CVE-2021-22638)
Fecha de publicación:
03/03/2021
Idioma:
Español
Fatek FvDesigner versiones 1.5.76 y anteriores, es vulnerable a una lectura fuera de límites mientras procesa archivos de proyecto, permitiendo a un atacante diseñar un archivo de proyecto especial que puede permitir una ejecución de código arbitraria
Gravedad CVSS v3.1: ALTA
Última modificación:
09/03/2021

Vulnerabilidad en el procesamiento de archivos de proyectos en Fatek FvDesigner (CVE-2021-22683)
Fecha de publicación:
03/03/2021
Idioma:
Español
Fatek FvDesigner versiones 1.5.76 y anteriores, es vulnerable a una escritura fuera de límites mientras procesa archivos de proyecto, lo que permite a un atacante diseñar un archivo de proyecto especial que puede permitir una ejecución de código arbitraria
Gravedad CVSS v3.1: ALTA
Última modificación:
09/03/2021

Vulnerabilidad en el procesamiento de archivos de proyectos en Fatek FvDesigner (CVE-2021-22670)
Fecha de publicación:
03/03/2021
Idioma:
Español
Un puntero no inicializado puede ser explotado en Fatek FvDesigner versiones 1.5.76 y anteriores, mientras la aplicación está procesando archivos de proyecto, permitiendo a un atacante diseñar un archivo de proyecto especial que puede permitir una ejecución de código arbitraria
Gravedad CVSS v3.1: ALTA
Última modificación:
09/03/2021
Suscribirse a Vulnerabilidades