Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en encabezados en IBM Cloud Pak para Multicloud Management Monitoring (CVE-2021-20341)
Fecha de publicación:
09/03/2021
Idioma:
Español
IBM Cloud Pak para Multicloud Management Monitoring versión 2.2, devuelve información potencialmente confidencial en encabezados que podrían conllevar a nuevos ataques contra el sistema. IBM X-Force ID: 194513
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/03/2021

Vulnerabilidad en MigrationService de SAP NetWeaver (CVE-2021-21481)
Fecha de publicación:
09/03/2021
Idioma:
Español
MigrationService, que forma parte de SAP NetWeaver versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, no lleva a cabo una comprobación de autorización. Esto podría permitir a un atacante no autorizado acceder a los objetos de configuración, incluyendo los que otorgan privilegios administrativos. Esto podría resultar en un compromiso total de la confidencialidad, integridad y disponibilidad del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2021

Vulnerabilidad en una autenticación LDAP en SAP HANA Database (CVE-2021-21484)
Fecha de publicación:
09/03/2021
Idioma:
Español
Una autenticación LDAP en SAP HANA Database versión 2.0, puede ser omitido si el servidor de directorio LDAP adjunto está configurado para habilitar un enlace no autenticado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/03/2021

Vulnerabilidad en SAP Enterprise Financial Services (CVE-2021-21486)
Fecha de publicación:
09/03/2021
Idioma:
Español
SAP Enterprise Financial Services versiones , 101, 102, 103, 104, 105, 600, 603, 604, 605, 606, 616, 617, 618, 800, no llevan a cabo unas comprobaciones de autorización necesarias para un usuario autenticado, resultando en una escalada de privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
16/03/2021

Vulnerabilidad en el SSCE (Self Service Composition Environment) en SAP MII (CVE-2021-21480)
Fecha de publicación:
09/03/2021
Idioma:
Español
SAP MII permite a los usuarios crear cuadros de mando y guardarlos como JSP a través del SSCE (Self Service Composition Environment). Un atacante puede interceptar una petición al servidor, inyectar código JSP malicioso en la petición y reenviarlo al servidor. Cuando este tablero es abierto por usuarios que tienen al menos el rol de Desarrollador SAP_XMII, el contenido malicioso en el tablero se ejecuta, llevando a la ejecución remota de código en el servidor, lo que permite la escalada de privilegios. El código JSP malicioso puede contener ciertos comandos del sistema operativo, a través de los cuales un atacante puede leer archivos sensibles en el servidor, modificar archivos o incluso eliminar contenidos en el servidor, comprometiendo así la confidencialidad, integridad y disponibilidad del servidor que aloja la aplicación SAP MII. Además, un atacante autentificado como desarrollador puede utilizar la aplicación para cargar y ejecutar un archivo que le permitirá ejecutar comandos del sistema operativo comprometiendo completamente el servidor que aloja la aplicación
Gravedad CVSS v3.1: ALTA
Última modificación:
05/05/2025

Vulnerabilidad en el parámetro options en el archivo admin.php en Web Based Quiz System (CVE-2021-28006)
Fecha de publicación:
09/03/2021
Idioma:
Español
Web Based Quiz System versión 1.0, está afectado por un ataque de tipo cross-site scripting (XSS) en el archivo admin.php por medio del parámetro options
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/03/2021

Vulnerabilidad en la función pcre_compile() en privoxy (CVE-2021-20276)
Fecha de publicación:
09/03/2021
Idioma:
Español
Se encontró un fallo en privoxy versiones anteriores a 3.0.32. Un acceso a la memoria no válido con un patrón no válido pasado a la función pcre_compile() puede conllevar a una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2022

Vulnerabilidad en la función chunked_body_is_complete() en privoxy (CVE-2021-20275)
Fecha de publicación:
09/03/2021
Idioma:
Español
Se encontró un fallo en privoxy versiones anteriores a 3.0.32. Una lectura no válida de tamaño dos puede ocurrir en la función chunked_body_is_complete() conllevando a una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2022

Vulnerabilidad en una petición CGI en privoxy (CVE-2021-20272)
Fecha de publicación:
09/03/2021
Idioma:
Español
Se encontró un fallo en privoxy versiones anteriores a 3.0.32. Se podría desencadenar un fallo de aserción con una petición CGI diseñada conllevando a un bloqueo del servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
07/12/2021

Vulnerabilidad en una petición CGI en privoxy (CVE-2021-20273)
Fecha de publicación:
09/03/2021
Idioma:
Español
Se encontró un fallo en privoxy versiones anteriores a 3.0.32. Se puede presentar un bloqueo por medio de una petición CGI diseñada si Privoxy está desactivado
Gravedad CVSS v3.1: ALTA
Última modificación:
08/12/2021

Vulnerabilidad en el servidor socks en privoxy (CVE-2021-20274)
Fecha de publicación:
09/03/2021
Idioma:
Español
Se encontró un fallo en privoxy versiones anteriores a 3.0.32. Puede ocurrir un bloqueo debido a una desreferencia del puntero NULL cuando el servidor socks se comporta inapropiadamente
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2021

Vulnerabilidad en getProcessForPort en react-dev-utils (CVE-2021-24033)
Fecha de publicación:
09/03/2021
Idioma:
Español
react-dev-utils anterior a versión v11.0.4, expone una función, getProcessForPort, donde un argumento de entrada se concatena en una cadena de comando para ser ejecutado. Esta función se usa generalmente desde react-scripts (en los proyectos de Create React App), donde el uso es seguro. Solo cuando esta función se invoca manualmente con valores proporcionados por el usuario (es decir, mediante código personalizado) existe la posibilidad de inyección de comandos. Si lo consume desde react-scripts, este problema no le afecta
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2021
Suscribirse a Vulnerabilidades