Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en credenciales en el encabezado HTTP Referer: en Libcurl en curl (CVE-2021-22876)
Fecha de publicación:
01/04/2021
Idioma:
Español
curl versiones 7.1.1 hasta 7.75.0 incluyéndola, es vulnerable a una "Exposure of Private Personal Information to an Unauthorized Actor" al filtrar credenciales en el encabezado HTTP Referer:. libcurl no elimina las credenciales de usuario de la URL cuando completa automáticamente el campo de encabezado de petición HTTP Referer: en peticiones HTTP salientes y, por lo tanto, corre el riesgo de filtrar datos confidenciales al servidor que es el objetivo de la segunda petición HTTP.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2025

Vulnerabilidad en el manejo de los tickets de sesión de TLS en un proxy HTTPS en curl (CVE-2021-22890)
Fecha de publicación:
01/04/2021
Idioma:
Español
curl versiones 7.63.0 hasta 7.75.0 incluyéndola, incluye una vulnerabilidad que permite que un proxy HTTPS malicioso acceda a una conexión MITM debido al manejo inapropiado de los tickets de sesión de TLS versión 1.3. Cuando se usa un proxy HTTPS y TLS 1.3, libcurl puede confundir los tickets de sesión que llegan del proxy HTTPS pero funciona como si llegaran del servidor remoto y luego "short-cut" incorrectamente el protocolo de enlace del host. Al confundir los tickets, un proxy HTTPS puede engañar a libcurl para que utilice la reanudación del ticket de sesión incorrecta para el host y, por lo tanto, omitir la verificación del certificado TLS del servidor y hacer que un ataque MITM sea posible de realizar sin ser detectado. Tome en cuenta que dicho proxy HTTPS malicioso debe proporcionar un certificado que curl aceptará para el servidor MITMed para que funcione un ataque, a menos que se le haya dicho a curl que ignore la verificación del certificado del servidor.
Gravedad CVSS v3.1: BAJA
Última modificación:
09/06/2025

Vulnerabilidad en el campo post_backup_script en el endpoint "/go/api/config/backup" en GoCD (CVE-2021-25924)
Fecha de publicación:
01/04/2021
Idioma:
Español
En GoCD, versiones 19.6.0 hasta 21.1.0, son vulnerables a un ataque de tipo Cross-Site Request Forgery debido a la falta de protección CSRF en el endpoint "/go/api/config/backup". Un atacante puede engañar a una víctima para que haga clic en un enlace malicioso que podría cambiar la configuración de la copia de seguridad o ejecutar comandos del sistema en el campo post_backup_script.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la interfaz de un componente del Smartphone Huawei (CVE-2020-9147)
Fecha de publicación:
01/04/2021
Idioma:
Español
Se presenta una vulnerabilidad de error de búfer de la memoria en la interfaz de un componente del Smartphone Huawei. Los atacantes locales pueden explotar esta vulnerabilidad construyendo cuidadosamente escenarios de ataque para provocar una lectura fuera de los límites.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en en gitlab-vscode-extension (CVE-2021-22195)
Fecha de publicación:
01/04/2021
Idioma:
Español
Una ejecución de código del lado del cliente en gitlab-vscode-extension versión v3.15.0 y anterior, permite al atacante ejecutar código sobre el sistema de usuario
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en errores de aplicación en la interfaz de un componente del Smartphone Huawei (CVE-2020-9149)
Fecha de publicación:
01/04/2021
Idioma:
Español
Se presenta una vulnerabilidad de verificación de errores de aplicación en la interfaz de un componente del Smartphone Huawei. Los atacantes locales pueden explotar esta vulnerabilidad para modificar y eliminar los mensajes SMS de los usuarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/12/2021

Vulnerabilidad en la interfaz de un componente del Smartphone Huawei (CVE-2020-9146)
Fecha de publicación:
01/04/2021
Idioma:
Español
Se presenta una vulnerabilidad de error de búfer de la memoria en la interfaz de un componente del Smartphone Huawei. Los atacantes locales pueden explotar esta vulnerabilidad para causar pérdidas de la memoria y ataques de denegación de servicio mediante la construcción cuidadosa de escenarios de ataque.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/12/2021

Vulnerabilidad en el mecanismo de omisión de aplicaciones en la interfaz de un componente del Smartphone Huawei (CVE-2020-9148)
Fecha de publicación:
01/04/2021
Idioma:
Español
Se presenta una vulnerabilidad del mecanismo de omisión de aplicaciones en la interfaz de un componente del Smartphone Huawei. Los atacantes locales pueden explotar esta vulnerabilidad para eliminar los mensajes SMS de los usuarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/12/2021

Vulnerabilidad en el contenido del directorio de aplicaciones web en Eclipse Jetty (CVE-2021-28163)
Fecha de publicación:
01/04/2021
Idioma:
Español
En Eclipse Jetty versiones 9.4.32 hasta 9.4.38, versiones 10.0.0.beta2 hasta 10.0.1 y versiones 11.0.0.beta2 hasta 11.0.1, si un usuario usa un directorio de aplicaciones web que es un enlace simbólico, el contenido del directorio de aplicaciones web se implementa como una aplicación web estática, sin darse cuenta, sirviendo las aplicaciones web en sí y cualquier otra cosa que pueda estar en ese directorio.
Gravedad CVSS v3.1: BAJA
Última modificación:
07/11/2023

Vulnerabilidad en el directorio WEB-INF en Eclipse Jetty (CVE-2021-28164)
Fecha de publicación:
01/04/2021
Idioma:
Español
En Eclipse Jetty versiones 9.4.37.v20210219 hasta 9.4.38.v20210224, el modo de cumplimiento predeterminado permite a unas peticiones con URI que contienen segmentos %2e o %2e%2e acceder a recursos protegidos dentro del directorio WEB-INF. Por ejemplo, una petición a /context/%2e/WEB-INF/web.xml puede recuperar el archivo web.xml. Esto puede divulgar información confidencial sobre la implementación de una aplicación web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en una gran trama TLS en Eclipse Jetty (CVE-2021-28165)
Fecha de publicación:
01/04/2021
Idioma:
Español
En Eclipse Jetty versiones 7.2.2 hasta 9.4.38, versiones 10.0.0.alpha0 hasta 10.0.1 y versiones 11.0.0.alpha0 hasta 11.0.1, el uso de CPU puede alcanzar el 100% al recibir una gran trama TLS no válida.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/08/2025

Vulnerabilidad en el comando gitlab-shell en GitLab CE/EE (CVE-2021-22177)
Fecha de publicación:
01/04/2021
Idioma:
Español
Se identificó una DoS potencial en gitlab-shell en GitLab CE/EE versiones 12.6.0 o superiores, lo que permite a un atacante aumentar la utilización de recursos del servidor por medio del comando gitlab-shell.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/04/2021
Suscribirse a Vulnerabilidades