Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Pluck (CVE-2021-27984)

Fecha de publicación:
10/12/2021
Idioma:
Español
En Pluck versión 4.7.15 admin background, se presenta una vulnerabilidad de ejecución de comandos remota cuando son subidos archivos
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2021

Vulnerabilidad en la página de documentos en MaxSite CMS (CVE-2021-27983)

Fecha de publicación:
10/12/2021
Idioma:
Español
Se presenta una vulnerabilidad de ejecución de código remota (RCE) en MaxSite CMS versión v107.5, por medio de la página de documentos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/12/2021

Vulnerabilidad en el archivo update_applet.php en Pluck (CVE-2021-31747)

Fecha de publicación:
10/12/2021
Idioma:
Español
Se presenta un problema de comprobación de certificados SSL en Pluck versión 4.7.15, en el archivo update_applet.php, que podría conllevar a ataques de tipo man-in-the-middle
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2021

Vulnerabilidad en archivos .md completamente en minúsculas o en mayúsculas en Grafana (CVE-2021-43813)

Fecha de publicación:
10/12/2021
Idioma:
Español
Grafana es una plataforma de código abierto para la monitorización y la observabilidad. Grafana versiones anteriores a 8.3.2 y 7.5.12, contiene una vulnerabilidad de salto de directorio para archivos .md completamente en minúsculas o en mayúsculas. La vulnerabilidad presenta un alcance limitado y sólo permite el acceso a los archivos con la extensión .md a usuarios autentificados. Las instancias de Grafana Cloud no han sido afectadas por la vulnerabilidad. Los usuarios deben actualizar a las versiones parcheadas 8.3.2 o 7.5.12. Para usuarios que no puedan actualizar, la ejecución de un proxy inverso frente a Grafana que normalice el PATH de la petición mitigará la vulnerabilidad. El proxy también tendrá que ser capaz de manejar rutas codificadas con url. Alternativamente, para archivos .md completamente en minúsculas o en mayúsculas, los usuarios pueden bloquear /api/plugins/.*/markdown/.* sin perder ninguna funcionalidad más allá del texto de ayuda del plugin alineado
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2022

Vulnerabilidad en una llamada de IBMi Hypervisor en IBM PowerVM Hypervisor FW940, FW950 y FW1010 (CVE-2021-38937)

Fecha de publicación:
10/12/2021
Idioma:
Español
IBM PowerVM Hypervisor FW940, FW950 y FW1010, podría permitir a un usuario autenticado causar el bloqueo del sistema usando una llamada de IBMi Hypervisor especialmente diseñada. IBM X-Force ID: 210894
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2021

Vulnerabilidad en IBM PowerVM Hypervisor FW860, FW940 y FW950 (CVE-2021-38917)

Fecha de publicación:
10/12/2021
Idioma:
Español
IBM PowerVM Hypervisor FW860, FW940 y FW950, podría permitir a un atacante que consiga acceso de servicio al FSP pueda leer y escribir en la memoria del sistema anfitrión de forma arbitraria mediante una serie de procedimientos de servicio cuidadosamente diseñados. IBM X-Force ID: 210018
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/12/2021

Vulnerabilidad en los archivos zip en Pluck-CMS Pluck (CVE-2021-31746)

Fecha de publicación:
10/12/2021
Idioma:
Español
Una vulnerabilidad de Zip Slip en Pluck-CMS Pluck versión 4.7.15, permite a un atacante cargar archivos zip especialmente diseñados, resultando en un salto de directorio y una ejecución potencial de código arbitrario
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/12/2021

Vulnerabilidad en el archivo login.php en Pluck-CMS Pluck (CVE-2021-31745)

Fecha de publicación:
10/12/2021
Idioma:
Español
Una vulnerabilidad de Fijación de Sesión en el archivo login.php en Pluck-CMS Pluck versión 4.7.15, permite a un atacante mantener el acceso no autorizado a la plataforma. Debido a que Pluck no invalida las sesiones anteriores después de un cambio de contraseña, el acceso puede mantenerse incluso después de que un administrador lleve a cabo intentos regulares de reparación, como el restablecimiento de su contraseña
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2021

Vulnerabilidad en HPE StoreServ Management Console (SSMC) (CVE-2021-29214)

Fecha de publicación:
10/12/2021
Idioma:
Español
Se ha identificado una vulnerabilidad de seguridad en HPE StoreServ Management Console (SSMC). Un administrador autenticado de SSMC podría explotar la vulnerabilidad para inyectar código y elevar sus privilegios en SSMC. El alcance de esta vulnerabilidad es limitada a SSMC. Nota: Las matrices que son administradas no están afectadas por esta vulnerabilidad. Esta vulnerabilidad afecta a SSMC versiones 3.4 GA a 3.8.1
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el plugin Comment Engine Pro de WordPress (CVE-2021-36911)

Fecha de publicación:
10/12/2021
Idioma:
Español
Se ha detectado una vulnerabilidad de tipo Cross-Site Scripting (XSS) Almacenado en el plugin Comment Engine Pro de WordPress (versiones anteriores a 1.0 incluyéndola), que podría ser explotada por usuarios con rol de Editor o superior
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2021

Vulnerabilidad en /account/login en Huntflow Enterprise (CVE-2021-37934)

Fecha de publicación:
10/12/2021
Idioma:
Español
Debido a una insuficiente aplicación del límite de intentos de inicio de sesión del lado del servidor, una vulnerabilidad en /account/login en Huntflow Enterprise versiones anteriores a 3.10.14, podría permitir a un usuario remoto no autenticado llevar a cabo múltiples intentos de inicio de sesión para adivinar la contraseña por fuerza bruta
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/12/2021

Vulnerabilidad en la página de inicio de sesión de Huntflow Enterprise (CVE-2021-37935)

Fecha de publicación:
10/12/2021
Idioma:
Español
Una vulnerabilidad de divulgación de información en la página de inicio de sesión de Huntflow Enterprise versiones anteriores a 3.10.4, podría permitir a un usuario remoto no autenticado conseguir información sobre el nombre de dominio del servidor LDAP configurado. Un atacante podría aprovechar esta vulnerabilidad al solicitar la página de inicio de sesión y buscando el parámetro JavaScript "isLdap" en el código fuente HTML
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2021