Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el instalador de Duo Authentication Proxy (CVE-2021-1492)
Fecha de publicación:
25/03/2021
Idioma:
Español
El instalador de Duo Authentication Proxy anterior a versión 5.2.1, no comprobaba apropiadamente las rutas de instalación de archivos. Esto permite a un atacante con privilegios de usuario local coaccionar al instalador para que escriba en directorios privilegiados arbitrarios. Si tiene éxito, un atacante puede manipular los archivos usados por el instalador de Duo Authentication Proxy, causar una denegación de servicio (DoS) al eliminar archivos o reemplazar archivos del sistema para lograr potencialmente una elevación de privilegios. Esto solo se puede explotar durante nuevas instalaciones, mientras el instalador se está ejecutando, y no es explotable una vez finalizada la instalación. Las versiones 5.2.1 del instalador de Duo Authentication Proxy solucionan este problema
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2021

Vulnerabilidad en los archivos de configuración (.cf) de reglas maliciosas en n Apache SpamAssassin (CVE-2020-1946)
Fecha de publicación:
25/03/2021
Idioma:
Español
En Apache SpamAssassin anterior a versión 3.4.5, los archivos de configuración de reglas maliciosas (.cf) se pueden configurar para ejecutar comandos del sistema sin ningún resultado ni errores. Con esto, las explotaciones se pueden inyectar en varios escenarios. Además de actualizar a la versión 3.4.5 de SA, los usuarios solo deben usar canales de actualización o archivos .cf de terceros desde lugares de confianza
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en el protocolo Webfinger en ForgeRock OpenAM (CVE-2021-29156)
Fecha de publicación:
25/03/2021
Idioma:
Español
ForgeRock OpenAM versiones anteriores a 13.5.1, permite la inyección LDAP por medio del protocolo Webfinger. Por ejemplo, un atacante no autenticado puede llevar a cabo la recuperación de caracteres del hash de contraseña, o recuperar un token de sesión o una clave privada
Gravedad CVSS v3.1: ALTA
Última modificación:
29/03/2021

Vulnerabilidad en el parámetro logo_uri en la petición de registro de cliente dinámico en la implementación del servidor OpenID Connect para MITREid Connect (CVE-2021-26715)
Fecha de publicación:
25/03/2021
Idioma:
Español
La implementación del servidor OpenID Connect para MITREid Connect versiones hasta 1.3.3, contiene una vulnerabilidad de Server Side Request Forgery (SSRF). La vulnerabilidad surge debido al uso no seguro del parámetro logo_uri en la petición de registro de cliente dinámico. Un atacante no autenticado puede llevar a cabo una petición HTTP desde el servidor vulnerable a cualquier dirección en la red interna y obtener su respuesta (que podría, por ejemplo, tener una carga útil de JavaScript para el XSS resultante). El problema puede ser explotado para omitir los límites de la red, obtener datos confidenciales o atacar a otros hosts de la red interna
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/03/2021

Vulnerabilidad en el envío de un comando en diversos modelos de dispositivos multifunción e impresoras Fuji Xerox (CVE-2021-20679)
Fecha de publicación:
25/03/2021
Idioma:
Español
Dispositivos multifunción e impresoras Fuji Xerox (DocuCentre-VII C7773/C6673/C5573/C4473/C3373/C3372/C2273, DocuCentre-VII C7788/C6688/C5588, ApeosPort-VII C7773/C6673/C5573/C4473/C3373/C3372 C2273, ApeosPort-VII C7788/C6688/C5588, ApeosPort C7070/C6570/C5570/C4570/C3570/C3070/C7070G/C6570G/C5570G/C4570G/C3570G/C3070G, ApeosPort-VII C4421/C3321, ApeosPort C3060/C2560/C2060/C3060G/C2560G/C2060G, ApeosPort-VII CP4421, ApeosPort Print C5570, ApeosPort 5570/4570/5570G/4570G, ApeosPort 3560/3060/2560/3560G/3060G/2560G, ApeosPort-VII 5021/ 4021, ApeosPort-VII P5021, DocuPrint CP 555 d/505 d, DocuPrint P505 d, PrimeLink C9065/C9070, DocuPrint CP475AP, and DocuPrint P475AP), permiten a un atacante causar una condición de denegación de servicio (DoS) y una finalización anormal (ABEND) de los productos afectados por medio del envío de un comando especialmente diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2021

Vulnerabilidad en un archivo de formato ex.j2c en Daview.exe en DaviewIndy (CVE-2020-7852)
Fecha de publicación:
24/03/2021
Idioma:
Español
DaviewIndy presenta una vulnerabilidad de desbordamiento de búfer en la región heap de la memoria, que es desencadenada cuando el usuario abre un archivo de formato ex.j2c malformado que Daview.exe no maneja apropiadamente. Los atacantes podrían explotar esto y una ejecución de código arbitraria
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2021

Vulnerabilidad en el nombre del paquete dentro del manifiesto de la aplicación en APKLeaks (CVE-2021-21386)
Fecha de publicación:
24/03/2021
Idioma:
Español
APKLeaks es un proyecto de código abierto para escanear archivos APK en busca de unos URI, endpoints y secretos. APKLeaks anterior a versión v2.0.3, permite a atacantes remotos ejecutar comandos arbitrarios del sistema operativo por medio del nombre del paquete dentro del manifiesto de la aplicación. Un atacante podría incluir argumentos que permitan ejecutar comandos o códigos no deseados, permitir que sean leídos o modificados datos confidenciales o que puedan causar otros comportamientos no deseados mediante el nombre del paquete malicioso. El problema es corregido en versión v2.0.6-dev y superior
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/03/2021

Vulnerabilidad en la aplicación de Android Mifos-Mobile para MifosX (CVE-2021-21385)
Fecha de publicación:
24/03/2021
Idioma:
Español
La aplicación de Android Mifos-Mobile para MifosX es una aplicación de Android construida sobre la plataforma de autoservicio MifosX. Mifos-Mobile versiones anteriores al commit e505f62 deshabilita la comprobación del nombre de host HTTPS de su cliente HTTP. Además, aceptó como válido cualquier certificado autofirmado. La comprobación del nombre de host es una parte importante cuando es usado HTTPS para garantizar que el certificado presentado sea válido para el host. Deshabilitarlo puede permitir ataques de tipo man-in-the-middle. Aceptar cualquier certificado, inclusive los autofirmados, permite ataques de tipo man-in-the-middle. Este problema es corregido en mifos-mobile commit e505f62
Gravedad CVSS v3.1: ALTA
Última modificación:
30/03/2021

Vulnerabilidad en Cisco Jabber para Windows, Cisco Jabber para MacOS y Cisco Jabber para plataformas móviles (CVE-2021-1411)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en Cisco Jabber para Windows, Cisco Jabber para MacOS y Cisco Jabber para plataformas móviles, podrían permitir a un atacante ejecutar programas arbitrarios en el sistema operativo subyacente con privilegios elevados, acceder a información confidencial, interceptar el tráfico de red protegido o causar una condición de denegación de servicio (DoS). Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Cisco Jabber para Windows, Cisco Jabber para MacOS y Cisco Jabber para plataformas móviles (CVE-2021-1418)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en Cisco Jabber para Windows, Cisco Jabber para MacOS y Cisco Jabber para plataformas móviles, podrían permitir a un atacante ejecutar programas arbitrarios en el sistema operativo subyacente con privilegios elevados, acceder a información confidencial, interceptar el tráfico de red protegido o causar una condición de denegación de servicio (DoS). Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la implementación de un comando de CLI en Cisco Aironet Access Points (AP) (CVE-2021-1423)
Fecha de publicación:
24/03/2021
Idioma:
Español
Una vulnerabilidad en la implementación de un comando de CLI en Cisco Aironet Access Points (AP), podría permitir a un atacante local autenticado sobrescribir archivos en la memoria flash del dispositivo. Esta vulnerabilidad es debido a una comprobación insuficiente de la entrada para un comando específico. Un atacante podría explotar esta vulnerabilidad al emitir un comando con argumentos diseñados. Una explotación con éxito podría permitir al atacante sobrescribir o crear archivos con datos que ya están presentes en otros archivos alojados en el dispositivo afectado
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Cisco Jabber para Windows, Cisco Jabber para MacOS y Cisco Jabber para plataformas móviles (CVE-2021-1417)
Fecha de publicación:
24/03/2021
Idioma:
Español
Múltiples vulnerabilidades en Cisco Jabber para Windows, Cisco Jabber para MacOS y Cisco Jabber para plataformas móviles, podrían permitir a un atacante ejecutar programas arbitrarios en el sistema operativo subyacente con privilegios elevados, acceder a información confidencial, interceptar el tráfico de red protegido o causar una condición de denegación de servicio (DoS). Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades