Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los metadatos de archivos de imagen en Exiv2 (CVE-2021-32617)
Fecha de publicación:
17/05/2021
Idioma:
Español
Exiv2 es una utilidad de línea de comandos y una biblioteca C++ para leer, escribir, eliminar y modificar los metadatos de archivos de imagen. Fue encontrado un algoritmo ineficiente (complejidad cuadrática) en Exiv2 versiones v0.27.3 y anteriores. El algoritmo ineficiente es desencadenado cuando Exiv2 es usado para escribir metadatos en un archivo de imagen diseñado. Un atacante podría explotar la vulnerabilidad para causar una denegación de servicio, si pueden engañar a la víctima para que ejecute Exiv2 en un archivo de imagen diseñado. El bug es corregido en versión v0.27.4. Tome en cuenta que este bug solo es desencadenado al _escribir_ los metadatos, que es una operación Exiv2 que es usado con menos frecuencia que _leer_ los metadatos. Por ejemplo, para desencadenar el bug en la aplicación de línea de comandos de Exiv2, necesitas agregar un argumento de línea de comandos adicional como "rm"
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2023

Vulnerabilidad en el archivo output_TEXT ../../programs/dwg2SVG.c:114 en GNU LibreDWG (CVE-2020-21813)
Fecha de publicación:
17/05/2021
Idioma:
Español
Se presenta un problema de desreferencia de puntero null en GNU LibreDWG versión 0.10.2641, por medio del archivo output_TEXT ../../programs/dwg2SVG.c:114, que causa una denegación de servicio (bloqueo de la aplicación)
Gravedad CVSS v3.1: ALTA
Última modificación:
24/05/2021

Vulnerabilidad en la modificación de credenciales en SITEL CAP/PRX (CVE-2021-32454)
Fecha de publicación:
17/05/2021
Idioma:
Español
SITEL CAP/PRX versiones del firmware 5.2.01, usa una contraseña embebida. Un atacante con acceso al dispositivo podría modificar estas credenciales, dejando a los administradores del dispositivo sin acceso
Gravedad CVSS v3.1: ALTA
Última modificación:
25/05/2021

Vulnerabilidad en el análisis de tráfico de la red en SITEL CAP/PRX (CVE-2021-32456)
Fecha de publicación:
17/05/2021
Idioma:
Español
SITEL CAP/PRX versiones del firmware 5.2.01, permite a un atacante con acceso a la red local del dispositivo obtener las contraseñas de autenticación mediante el análisis del tráfico de la red
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/11/2023

Vulnerabilidad en el uso de trailing double slashes en la URL en la función index.js::removeTrailingSlashes() en el paquete koa-remove-trailing-slashes (CVE-2021-23384)
Fecha de publicación:
17/05/2021
Idioma:
Español
El paquete koa-remove-trailing-slashes versiones anteriores a 2.0.2, es vulnerable a Open Redirect por medio del uso de trailing double slashes en la URL al acceder al extremo vulnerable (como https://example.com//attacker.example/) . El código vulnerable está en la función index.js::removeTrailingSlashes(), ya que el servidor web usa URL relativas en lugar de URL absolutas
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/05/2021

Vulnerabilidad en el parámetro tab en la página de configuración del plugin 404 SEO Redirection de WordPress (CVE-2021-24325)
Fecha de publicación:
17/05/2021
Idioma:
Español
El parámetro tab de la página de configuración del plugin de WordPress 404 SEO Redirection hasta versiones 1.3 es vulnerable a un problema de tipo Cross-Site Scripting (XSS) reflejado, ya que la entrada del usuario no es saneada apropiadamente o se escapa antes de ser emitida en un atributo
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en el parámetro tab en el plugin All 404 Redirect to Homepage de WordPress (CVE-2021-24326)
Fecha de publicación:
17/05/2021
Idioma:
Español
El parámetro tab de la página de configuración del plugin de WordPress All 404 Redirect to Homepage versiones anteriores a 1.21, era vulnerable a un problema de Cross-Site Scripting (XSS) reflejado y autenticado, ya que la entrada del usuario no era saneada apropiadamente antes de ser emitido en un atributo
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en el plugin 404 SEO Redirection de WordPress (CVE-2021-24324)
Fecha de publicación:
17/05/2021
Idioma:
Español
El plugin de WordPress 404 SEO Redirection versiones hasta 1.3 carece de comprobaciones CSRF en todas sus configuraciones, permitiendo a atacantes hacer que un usuario que haya iniciado sesión cambie la configuración del plugin. Debido a la falta de saneamiento y escapando en algunos campos, también podría conllevar a problemas de tipo Cross-Site Scripting almacenado
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en los campos Redirect From y Redirect To, en el plugin SEO Redirection Plugin – 301 Redirect Manager de Wordpress (CVE-2021-24327)
Fecha de publicación:
17/05/2021
Idioma:
Español
El plugin de WordPress SEO Redirection Plugin – 301 Redirect Manager versiones anteriores a 6.4, no sanea los campos Redirect From y Redirect To, cuando se crea una nueva redirección en el panel, permitiendo a usuarios con altos privilegios (incluso con el parámetro unfiltered_html desactivado) ajustar cargas útiles de tipo Cross Site Scripting
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de peticiones HTTP en SITEL CAP/PRX (CVE-2021-32455)
Fecha de publicación:
17/05/2021
Idioma:
Español
El firmware SITEL CAP/PRX versión 5.2.01, permite a un atacante con acceso a la red del dispositivo causar una condición de denegación de servicio en el dispositivo. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP masivamente
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en el plugin Store Locator Plus para WordPress (CVE-2021-24290)
Fecha de publicación:
17/05/2021
Idioma:
Español
Se presentan varios endpoints en el plugin Store Locator Plus para WordPress versiones hasta 5.5.15, que podrían permitir a atacantes no autenticados la habilidad de inyectar JavaScript malicioso en las páginas
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en el campo "Additional tax classes" (CVE-2021-24323)
Fecha de publicación:
17/05/2021
Idioma:
Español
Cuando la opción taxes está habilitada, el campo "Additional tax classes" no es saneado apropiadamente antes de ser devuelto en el panel de administración, permitiendo a usuarios con altos privilegios, tales como el administrador, usar cargas útiles XSS incluso cuando el parámetro unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021
Suscribirse a Vulnerabilidades