Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el robo de tokens de sesión en los parámetros account en ClinicCases (CVE-2021-38707)
Fecha de publicación:
07/09/2021
Idioma:
Español
Unas vulnerabilidades persistentes de tipo cross-site scripting (XSS) en ClinicCases versión 7.3.3, permiten a atacantes pocos privilegiados introducir JavaScript arbitrario en los parámetros account. Las cargas útiles de tipo XSS serán ejecutadas en el navegador de cualquier usuario que visualice el contenido correspondiente. Esto puede resultar en una toma de posesión de la cuenta por medio del robo de tokens de sesión
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2021

Vulnerabilidad en el parámetro "filename" en Eyoucms (CVE-2021-39496)
Fecha de publicación:
07/09/2021
Idioma:
Español
Eyoucms versión 1.5.4, carece de saneo de datos de entrada, permitiendo a un atacante inyectar código malicioso en el parámetro "filename" para desencadenar un ataque de tipo XSS Reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/09/2021

Vulnerabilidad en el archivo odf_code.c en la función gf_odf_del_ipmp_tool en gpac (CVE-2020-19751)
Fecha de publicación:
07/09/2021
Idioma:
Español
Se ha detectado un problema en gpac versión 0.8.0. La función gf_odf_del_ipmp_tool en el archivo odf_code.c presenta una lectura excesiva del búfer en la región heap de la memoria
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/09/2022

Vulnerabilidad en el archivo box_code_base.c en la función strdup en gpac (CVE-2020-19750)
Fecha de publicación:
07/09/2021
Idioma:
Español
Se ha detectado un problema en gpac versión 0.8.0. La función strdup en el archivo box_code_base.c presenta una lectura excesiva del búfer en la región heap de la memoria
Gravedad CVSS v3.1: ALTA
Última modificación:
20/09/2022

Vulnerabilidad en los permisos en ownCloud (CVE-2021-35946)
Fecha de publicación:
07/09/2021
Idioma:
Español
Un receptor de un recurso compartido federado con acceso a la base de datos con ownCloud versiones anteriores a 10.8, podría actualizar los permisos y, por tanto, elevar sus propios permisos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/09/2021

Vulnerabilidad en en enlaces públicos protegidos por la protección por contraseña en el servidor ownCloud (CVE-2021-35948)
Fecha de publicación:
07/09/2021
Idioma:
Español
Una fijación de la sesión en enlaces públicos protegidos por contraseña en el servidor ownCloud versiones anteriores a 10.8.0, permite a un atacante omitir la protección por contraseña cuando puede forzar a un cliente objetivo a usar una cookie controlada
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/09/2021

Vulnerabilidad en Nextcloud Circles (CVE-2021-37630)
Fecha de publicación:
07/09/2021
Idioma:
Español
Nextcloud Circles es una red social de código abierto construida para el ecosistema nextcloud. En las versiones afectadas la aplicación Nextcloud Circles permitía a cualquier usuario unirse a cualquier "Secret Circle" sin la aprobación del propietario del Círculo, filtrando información privada. Es recomendado actualizar Nextcloud Circles a versiones 0.19.15, 0.20.11 o 0.21.4. No se presentan soluciones para este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en Deck (CVE-2021-37631)
Fecha de publicación:
07/09/2021
Idioma:
Español
Deck es una herramienta de organización estilo kanban de código abierto destinada a la planificación personal y la organización de proyectos para equipos integrada con Nextcloud. En las versiones afectadas, la aplicación Deck no comprobaba apropiadamente la pertenencia de los usuarios a un Circle. Esto permitía a otros usuarios de la instancia conseguir acceso a los tableros que se habían compartido con un Circle, incluso si el usuario no era miembro del mismo. Se recomienda actualizar Nextcloud Deck a versión 1.5.1, 1.4.4 o 1.2.9. Si no se puede actualizar es aconsejable deshabilitar el plugin Deck
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en ClinicCases (CVE-2021-38704)
Fecha de publicación:
07/09/2021
Idioma:
Español
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) reflejado en ClinicCases versión 7.3.3, permiten a atacantes no autenticados introducir JavaScript arbitrario diseñando una URL maliciosa. Esto puede dar lugar a la toma de posesión de la cuenta por medio del robo de tokens de sesión
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2021

Vulnerabilidad en Nextcloud Circles (CVE-2021-32782)
Fecha de publicación:
07/09/2021
Idioma:
Español
Nextcloud Circles es una red social de código abierto construida para el ecosistema nextcloud. En las versiones afectadas la aplicación Nextcloud Circles es susceptible a una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado. Debido a una estricta política de seguridad de contenidos incluida en Nextcloud, este problema no es explotable en los navegadores modernos que soportan la política de seguridad de contenidos. Es recomendado actualizar la aplicación Nextcloud Circles a versiones 0.21.3, 0.20.10 o 0.19.14 para resolver este problema. Como solución alternativa, los usuarios pueden usar un navegador que sea compatible con Content-Security-Policy. Una excepción notable es Internet Explorer, que no soporta CSP adecuadamente
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2021

Vulnerabilidad en la función find_color_or_error en gifsicle (CVE-2020-19752)
Fecha de publicación:
07/09/2021
Idioma:
Español
La función find_color_or_error en gifsicle versión 1.92, contiene una desreferencia de puntero NULL
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la API REST en pcapture (CVE-2021-39196)
Fecha de publicación:
07/09/2021
Idioma:
Español
pcapture es una interfaz de servicio web dumpcap de código abierto. En las versiones afectadas esta vulnerabilidad permite a un usuario autenticado pero sin privilegios usar la API REST para capturar y descargar paquetes sin filtro de captura y sin los permisos adecuados. Esto es importante porque los filtros de captura pueden limitar efectivamente el alcance de la información que un usuario puede visualizar en las capturas de datos. Si no se presenta ningún filtro, pueden capturarse y descargarse todos los datos del segmento de red local donde es ejecutado el programa. La versión 3.12 corrige este problema. No se presenta ninguna solución, debe actualizar a versión v3.12 o superior
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2022
Suscribirse a Vulnerabilidades