Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el parámetro de consulta "error" en SDK de Auth0 Next.js (CVE-2021-32702)
Fecha de publicación:
25/06/2021
Idioma:
Español
El SDK de Auth0 Next.js es una biblioteca para implementar la autenticación de usuarios en las aplicaciones Next.js. Las versiones anteriores a la "1.4.1" e incluyéndola, son vulnerables a un ataque de tipo XSS reflejado. Un atacante puede ejecutar código arbitrario al proporcionar una carga útil de tipo XSS en el parámetro de consulta "error" que luego es procesado por el controlador de devolución de llamada como un mensaje de error. Está afectado por esta vulnerabilidad si está usando "@auth0/nextjs-auth0" versión "1.4.1" o inferior **a menos que** esté usando un manejo de errores personalizado que no devuelva el mensaje de error en una respuesta HTML. Actualizar a versión "1.4.1" para solucionarlo. La corrección añade un escape HTML básico al mensaje de error y no debería afectar a sus usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el campo name en PandoraFMS (CVE-2021-35501)
Fecha de publicación:
25/06/2021
Idioma:
Español
PandoraFMS versiones anteriores a 7.54 incluyéndola, permite un ataque de tipo XSS almacenado al colocar una carga útil en el campo name de una consola visual. Cuando un usuario o un administrador visita la consola, la carga útil de tipo XSS será ejecutada
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en el Administrador de Archivos en PandoraFMS (CVE-2021-34074)
Fecha de publicación:
25/06/2021
Idioma:
Español
PandoraFMS versiones anteriores a 7.54 incluyéndola, permite una carga arbitraria de ficheros, conllevando a una ejecución de comandos remota por medio del Administrador de Archivos. Para omitir la protección incorporada, es usada una ruta relativa en las peticiones
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/07/2021

Vulnerabilidad en el archivo /common/logViewer/logViewer.jsf en Oracle GlassFish Server (CVE-2021-3314)
Fecha de publicación:
25/06/2021
Idioma:
Español
** NO COMPATIBLE CUANDO SE ASIGNÓ ** Oracle GlassFish Server versiones 3.1.2.18 y por debajo permite un ataque de tipo XSS en el archivo /common/logViewer/logViewer.jsf. Un usuario malicioso puede causar a un usuario administrador suministrar contenido peligroso a la página vulnerable, que luego es reflejado de regreso al usuario y es ejecutado por el navegador web. El mecanismo más común para suministrar contenido malicioso es incluirlo como parámetro en una URL que es publicado o es enviado por correo electrónico directamente a las víctimas. NOTA: Esta vulnerabilidad sólo afecta a productos que ya no están soportados por el mantenedor
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/08/2024

CVE-2021-34183
Fecha de publicación:
25/06/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el archivo miniaudio.h en la función ma_default_vfs_close__stdio en Miniaudio (CVE-2021-34184)
Fecha de publicación:
25/06/2021
Idioma:
Español
Miniaudio versión 0.10.35, presenta una vulnerabilidad de Doble liberación que podría causar un desbordamiento de búfer en la función ma_default_vfs_close__stdio en el archivo miniaudio.h
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/08/2025

Vulnerabilidad en el archivo miniaudio.h en la función drwav_bytes_to_u32 en Miniaudio (CVE-2021-34185)
Fecha de publicación:
25/06/2021
Idioma:
Español
Miniaudio versión 0.10.35, presenta un desbordamiento de búfer en la región integer de la memoria causado por un desplazamiento a la izquierda fuera de límites en la función drwav_bytes_to_u32 en el archivo miniaudio.h
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2025

Vulnerabilidad en el uso del ID en el procedimiento del sistema (USER_AUTHENTICATE_) en ETINET BACKBOX (CVE-2021-33895)
Fecha de publicación:
25/06/2021
Idioma:
Español
ETINET BACKBOX versiones E4.09 y H4.09 administra inapropiadamente el control de acceso a la contraseña. Cuando un usuario usa el ID de usuario del proceso que ejecuta BBSV para iniciar sesión en la aplicación Backbox UI, el procedimiento del sistema (USER_AUTHENTICATE_) usado para comprobar si la Contraseña devuelve 0 (sin error). La razón es que el usuario no está ejecutando la aplicación XYGate. Por lo tanto, BBSV asume que la contraseña es correcta. Para la versión H4.09, la versión afectada es T0954V04^AAO. Para versión E4.09, la versión afectada es 22SEP2020
Gravedad CVSS v3.1: ALTA
Última modificación:
20/12/2022

Vulnerabilidad en un archivo DWG en Autodesk Autocad (CVE-2021-27040)
Fecha de publicación:
25/06/2021
Idioma:
Español
Un archivo DWG diseñado maliciosamente puede ser forzado a leer más allá de los límites asignados al analizar el archivo DWG. Esta vulnerabilidad puede ser explotada para ejecutar código arbitrario
Gravedad CVSS v3.1: BAJA
Última modificación:
13/05/2022

Vulnerabilidad en un archivo DWG en Autodesk Autocad (CVE-2021-27042)
Fecha de publicación:
25/06/2021
Idioma:
Español
Un archivo DWG diseñado maliciosamente puede ser usado para escribir más allá del búfer asignado mientras se analizan los archivos DWG. La vulnerabilidad se presenta porque la aplicación comete un fallo para manejar un archivo DWG diseñado, lo que causa una excepción no manejada. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2022

Vulnerabilidad en la aplicación Autodesk DWG (CVE-2021-27043)
Fecha de publicación:
25/06/2021
Idioma:
Español
Un problema de escritura de direcciones arbitrarias en la aplicación Autodesk DWG, puede permitir a un usuario malicioso aprovechar la aplicación para escribir en rutas inesperadas. Para explotar esto, el atacante necesitaría que la víctima habilitara la pila de página completa en la aplicación
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2022

Vulnerabilidad en un archivo DWG en Autodesk Autocad (CVE-2021-27041)
Fecha de publicación:
25/06/2021
Idioma:
Español
Un archivo DWG malicioso puede ser utilizado para escribir más allá del buffer asignado mientras se analizan los archivos DWG. Esta vulnerabilidad puede ser explotada para ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2022
Suscribirse a Vulnerabilidades