Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el servidor Redis en IBM Planning Analytics Local (CVE-2020-4670)
Fecha de publicación:
17/05/2021
Idioma:
Español
IBM Planning Analytics Local versión 2.0, se conecta a un servidor Redis. El servidor Redis, un almacén de estructura de datos en memoria, que se ejecuta en el host remoto no está protegido por autenticación de contraseña. Un atacante remoto puede explotar esto para conseguir acceso no autorizado al servidor. IBM X-Force ID: 186401
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/06/2022

Vulnerabilidad en la representación recursiva desde contextos en plantillas de Moustache en Moodle (CVE-2019-14827)
Fecha de publicación:
17/05/2021
Idioma:
Español
Se encontró una vulnerabilidad en Moodle donde la inyección de javaScript era posible en algunas plantillas de Moustache por medio de la representación recursiva desde contextos. Las etiquetas de ayuda de Moustache que son incluidos en contextos de plantilla no se escaparon versiones anteriores a que ese contexto se inyectara en otro ayudante de Moustache, lo que podría resultar en una inyección de un script en algunas plantillas. Esto afecta a versiones 3.7 hasta 3.7.1, versiones 3.6 hasta 3.6.5, versiones 3.5 hasta 3.5.7 y versiones anteriores no compatibles
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/06/2021

Vulnerabilidad en el cambio de credenciales en Hirschmann HiOS y HiSecOS (CVE-2021-27734)
Fecha de publicación:
17/05/2021
Idioma:
Español
Hirschmann HiOS versiones 07.1.01, 07.1.02 y versiones 08.1.00 hasta 08.5.xx y HiSecOS versiones 03.3.00 hasta 03.5.01, permiten a atacantes remotos cambiar las credenciales de los usuarios existentes
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/07/2022

Vulnerabilidad en telnetd en el modelo de D-Link Router (CVE-2021-27342)
Fecha de publicación:
17/05/2021
Idioma:
Español
Una omisión del mecanismo de protección de autenticación de fuerza bruta en telnetd en el modelo de D-Link Router versiones de firmware 3.0.2, permite a un atacante remoto omitir el período de retardo anti-brute-force cool-down por medio de un ataque de canal lateral basado en sincronización
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en Intelbras Router RF 301K Firmware (CVE-2021-32402)
Fecha de publicación:
17/05/2021
Idioma:
Español
Intelbras Router RF 301K Firmware versión 1.1.2, es vulnerable a un ataque de tipo Cross Site Request Forgery (CSRF) debido a una falta de comprobación y configuraciones no seguras en entradas y módulos
Gravedad CVSS v3.1: ALTA
Última modificación:
25/05/2021

Vulnerabilidad en Intelbras Router RF 301K Firmware (CVE-2021-32403)
Fecha de publicación:
17/05/2021
Idioma:
Español
Intelbras Router RF 301K Firmware versión 1.1.2, es vulnerable a un ataque de tipo Cross Site Request Forgery (CSRF) debido a una falta de mecanismos de seguridad para la protección de tokens y entradas y módulos no seguros
Gravedad CVSS v3.1: ALTA
Última modificación:
01/01/2022

Vulnerabilidad en las bibliotecas zam64.sys, zam32.sys en MalwareFox AntiMalware (CVE-2021-31727)
Fecha de publicación:
17/05/2021
Idioma:
Español
Un control de acceso incorrecto en las bibliotecas zam64.sys, zam32.sys en MalwareFox AntiMalware versión 2.74.0.150, donde 0x80002014, 0x80002018 de IOCTL exponen capacidades de lectura y escritura de disco sin restricciones, respectivamente. Un proceso no privilegiado puede abrir un identificador para \.\ZemanaAntiMalware, registrarse con el controlador usando IOCTL 0x80002010 y enviar estos IOCTL para escalar privilegios sobrescribiendo el sector de arranque o sobrescribiendo el código crítico en el pagefile
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en las bibliotecas zam64.sys, zam32.sys en MalwareFox AntiMalware (CVE-2021-31728)
Fecha de publicación:
17/05/2021
Idioma:
Español
Un control de acceso incorrecto en las bibliotecas zam64.sys, zam32.sys en MalwareFox AntiMalware versión 2.74.0.150, permite que un proceso no privilegiado abra un identificador para \.\ZemanaAntiMalware, se registre con el controlador mediante el envío de IOCTL 0x80002010, asigne memoria ejecutable usando un fallo en IOCTL 0x80002040, instale un hook con IOCTL 0x80002044 y ejecute la memoria ejecutable usando este hook con IOCTL 0x80002014 o 0x80002018, esto expone la ejecución del código del anillo 0 en el contexto del controlador, permitiendo que al proceso no privilegiado elevar privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en los sitios web en de Mozilla (CVE-2007-5967)
Fecha de publicación:
17/05/2021
Idioma:
Español
Un fallo en el código de certificado insertado de Mozilla podría permitir a los sitios web instalar certificados root en dispositivos sin la aprobación del usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/11/2024

Vulnerabilidad en las llamadas API GET en el módulo Data Engine en Liferay Portal (CVE-2021-29052)
Fecha de publicación:
17/05/2021
Idioma:
Español
El módulo Data Engine en Liferay Portal versiones 7.3.0 hasta 7.3.5 y Liferay DXP versiones 7.3 anteriores a fixpack 1 no comprueba los permisos en DataDefinitionResourceImpl.getSiteDataDefinitionByContentTypeByDataDefinitionKey, que permite a los usuarios autenticados remotos visualizar estructuras DDMS por medio de llamadas a la API GET
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/05/2021

Vulnerabilidad en el parámetro _com_liferay_layout_admin_web_portlet_GroupPagesPortlet_name en la página de administración page del módulo Layout en Liferay Portal (CVE-2021-29048)
Fecha de publicación:
17/05/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en la página de administración page del módulo Layout en Liferay Portal versiones 7.3.4, 7.3.5 y Liferay DXP versiones 7.2 anteriores a fixpack 11 y versiones 7.3 anteriores a fixpack 1, permite a atacantes remotos inyectar un script web o HTML arbitrario por medio del parámetro _com_liferay_layout_admin_web_portlet_GroupPagesPortlet_name
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025

Vulnerabilidad en el parámetro _com_liferay_asset_publisher_web_portlet_AssetPublisherPortlet_INSTANCE_XXXXXXXXXXXX_assetEntryId en la aplicación Asset Publisher del módulo Asset en Liferay Portal (CVE-2021-29051)
Fecha de publicación:
17/05/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en la aplicación Asset Publisher del módulo Asset en Liferay Portal versiones 7.2.1 hasta 7.3.5, y Liferay DXP versiones 7.1 anteriores a fixpack 21, versiones 7.2 anteriores a fixpack 10 y versiones 7.3 anteriores a fixpack 1, permite a atacantes remotos inyectar un script web o HTML arbitrario por medio del parámetro _com_liferay_asset_publisher_web_portlet_AssetPublisherPortlet_INSTANCE_XXXXXXXXXXXX_assetEntryId
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2025
Suscribirse a Vulnerabilidades