Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en libtpms (CVE-2021-3623)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se ha encontrado un fallo en libtpms. El fallo puede ser desencadenado por paquetes de comandos TPM 2 especialmente diseñados que contengan valores ilegales y puede conllevar a un acceso fuera de límites cuando el estado volátil del TPM 2 es marshalled/written o unmarshalled/read. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo file.c en la función file_extension() en htmldoc (CVE-2021-23180)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se ha encontrado un fallo en htmldoc en la versiones 1.9.12 y anteriores. Se presenta una desreferencia de puntero Null en la función file_extension(),en el archivo file.c puede conllevar a una ejecución de código arbitrario y una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo image.cxx en la función image_load_jpeg() en htmldoc (CVE-2021-23191)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se encontró un problema de seguridad en htmldoc versiones v1.9.12 y anteriores. Una desreferencia de puntero NULL en la función image_load_jpeg() en el archivo image.cxx puede resultar en una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2022

Vulnerabilidad en el archivo ps-pdf.cxx en la función parse_table() en htmldoc (CVE-2021-23206)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se ha encontrado un fallo en htmldoc versiones 1.9.12 y anteriores. Un desbordamiento del buffer de pila en la función parse_table() en el archivo ps-pdf.cxx puede conllevar a una ejecución de código arbitrario y una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
10/03/2022

Vulnerabilidad en el clasificador "Routing decision" del subsistema de red Traffic Control del kernel de Linux (CVE-2021-3715)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se ha encontrado un fallo en el clasificador "Routing decision" del subsistema de red Traffic Control del kernel de Linux en la forma en que administra el cambio de los filtros de clasificación, conllevando a una condición de uso de memoria previamente liberada. Este fallo permite a usuarios locales no privilegiados escalar sus privilegios en el sistema. La mayor amenaza de esta vulnerabilidad es para la confidencialidad, la integridad y la disponibilidad del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2023

Vulnerabilidad en las primeras consultas del cliente (CVE-2021-23222)
Fecha de publicación:
02/03/2022
Idioma:
Español
Un atacante de tipo man-in-the-middle puede inyectar respuestas falsas a las primeras consultas del cliente, a pesar de haber usado la verificación y el cifrado de certificados SSL
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en postgresql (CVE-2021-3677)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se ha encontrado un fallo en postgresql. Una consulta diseñada a propósito puede leer bytes arbitrarios de la memoria del servidor. En la configuración por defecto, cualquier usuario autenticado de la base de datos puede completar este ataque a voluntad. El ataque no requiere la capacidad de crear objetos. Si la configuración del servidor incluye max_worker_processes=0, las versiones conocidas de este ataque no son viables. Sin embargo, las variantes no detectadas del ataque pueden ser independientes de esa configuración
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/01/2023

Vulnerabilidad en el estado Discoverable los adaptadores en bluetoothd de bluez (CVE-2021-3658)
Fecha de publicación:
02/03/2022
Idioma:
Español
bluetoothd de bluez guarda incorrectamente el estado Discoverable de los adaptadores cuando es apagado un dispositivo, y lo restaura cuando es encendido. Si un dispositivo es apagado mientras es detectado, será detectado cuando es encendido de nuevo. Esto podría conllevar a una exposición inadvertida de la pila bluetooth a atacantes físicamente cercanos
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2022

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2021-38266)
Fecha de publicación:
02/03/2022
Idioma:
Español
El módulo Portal Security en Liferay Portal 7.2.1 y anteriores, y Liferay DXP 7.0 antes del fix pack 90, 7.1 antes del fix pack 17 y 7.2 antes del fix pack 5 no importa correctamente los usuarios de LDAP, lo que permite a los atacantes remotos impedir que un usuario legítimo se autentique al intentar iniciar sesión como un usuario que existe en LDAP
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2022

Vulnerabilidad en el proxy de consola de openstack-nova, noVNC (CVE-2021-3654)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en el proxy de consola de openstack-nova, noVNC. Mediante el diseño de una URL maliciosa, noVNC puede ser redirigido a cualquier URL deseada
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2023

Vulnerabilidad en la implementación DCE/RPC en samba (CVE-2021-23192)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se ha encontrado un fallo en la forma en que samba implementa DCE/RPC. Si un cliente a un servidor Samba enviaba una petición DCE/RPC muy grande, y elegía fragmentarla, un atacante podía reemplazar los fragmentos posteriores con sus propios datos, omitiendo los requisitos de firma
Gravedad CVSS v3.1: ALTA
Última modificación:
17/09/2023

Vulnerabilidad en libvirt (CVE-2021-3631)
Fecha de publicación:
02/03/2022
Idioma:
Español
Se ha encontrado un fallo en libvirt mientras genera pares de categorías MCS de SELinux para las etiquetas dinámicas de las máquinas virtuales. Este defecto permite que un huésped explotado acceda a archivos etiquetados para otro huésped, resultando en una ruptura del confinamiento de sVirt. La mayor amenaza de esta vulnerabilidad es para la confidencialidad y la integridad
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2024
Suscribirse a Vulnerabilidades