Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el binario en la clave de hardware (CVE-2021-38394)
Fecha de publicación:
04/10/2021
Idioma:
Español
Un atacante con acceso físico al dispositivo puede extraer el binario que comprueba la clave de hardware y realizar ingeniería inversa, que podría ser usado para crear un duplicado físico de una clave de hardware válida. La llave de hardware permite acceder a configuraciones especiales cuando es insertada
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/10/2021

Vulnerabilidad en los componentes de software en el dispositivo afectado (CVE-2021-38398)
Fecha de publicación:
04/10/2021
Idioma:
Español
El dispositivo afectado usa componentes de software estándar que contienen vulnerabilidades sin parches. Un atacante malicioso con acceso físico al dispositivo afectado podría explotar estas vulnerabilidades
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2022

Vulnerabilidad en el acceso a la unidad de disco duro del dispositivo (CVE-2021-38392)
Fecha de publicación:
04/10/2021
Idioma:
Español
Un atacante hábil con acceso físico al dispositivo afectado puede acceder a la unidad de disco duro del dispositivo para cambiar la región de telemetría y podría usar esta configuración para interrogar o programar un dispositivo implantable en cualquier región del mundo
Gravedad CVSS v3.1: ALTA
Última modificación:
27/10/2022

Vulnerabilidad en el software en la unidad flash en la utilidad de instalación del programador (CVE-2021-38396)
Fecha de publicación:
04/10/2021
Idioma:
Español
La utilidad de instalación del programador no lleva a cabo una comprobación criptográfica de autenticidad o integridad del software en la unidad flash. Un atacante podría aprovechar esta debilidad para instalar software no autorizado usando un USB especialmente diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/10/2022

Vulnerabilidad en el parámetro de configuración proto-max-bulk-len en Redis (CVE-2021-41099)
Fecha de publicación:
04/10/2021
Idioma:
Español
Redis es una base de datos en memoria de código abierto que persiste en el disco. Un fallo de desbordamiento de enteros en la biblioteca de cadenas subyacente puede ser usado para corromper la pila y resultar potencialmente en una denegación de servicio o una ejecución de código remota. La vulnerabilidad implica cambiar el parámetro de configuración proto-max-bulk-len predeterminado a un valor muy grande y construir cargas útiles o comandos de red especialmente diseñados. El problema se ha corregido en las versiones de Redis 6.2.6, 6.0.16 y 5.0.14. Una solución adicional para mitigar el problema sin necesidad de parchear el ejecutable de redis-server es prevenir que los usuarios modifiquen el parámetro de configuración proto-max-bulk-len. Esto puede hacerse usando ACL para restringir a usuarios no privilegiados el uso del comando CONFIG SET
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la página de inicio de sesión en GFOS Workforce Management (CVE-2021-38618)
Fecha de publicación:
04/10/2021
Idioma:
Español
En GFOS Workforce Management versión 4.8.272.1, la página de inicio de sesión de la aplicación es propensa a una omisión de autenticación, que permite que cualquier persona (que conozca las credenciales de un usuario excepto la contraseña) pueda acceder a una cuenta. Esto ocurre debido a una administración inapropiada de JSESSIONID
Gravedad CVSS v3.1: ALTA
Última modificación:
30/05/2025

Vulnerabilidad en el depurador Lua en Redis (CVE-2021-32672)
Fecha de publicación:
04/10/2021
Idioma:
Español
Redis es una base de datos en memoria de código abierto que persiste en el disco. Cuando es usado el depurador Lua de Redis, unos usuarios pueden enviar peticiones malformadas que causan que el analizador de protocolo del depurador lea datos más allá del búfer real. Este problema afecta a todas las versiones de Redis con soporte de depuración Lua (3.2 o más reciente). El problema es corregido en las versiones 6.2.6, 6.0.16 y 5.0.14
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en una petición entrante del Protocolo Estándar de Redis en Redis (CVE-2021-32675)
Fecha de publicación:
04/10/2021
Idioma:
Español
Redis es una base de datos en memoria de código abierto que persiste en el disco. Cuando es analizada una petición entrante del Protocolo Estándar de Redis (RESP), Redis asigna la memoria de acuerdo con los valores especificados por el usuario, que determinan el número de elementos (en el encabezado multi-bulk) y el tamaño de cada elemento (en el encabezado bulk). Un atacante que envíe peticiones especialmente diseñadas a través de múltiples conexiones puede causar que el servidor asigne una cantidad significativa de memoria. Debido a que el mismo mecanismo de análisis es usado para manejar las peticiones de autenticación, esta vulnerabilidad también puede ser explotada por usuarios no autenticados. El problema se ha corregido en las versiones de Redis 6.2.6, 6.0.16 y 5.0.14. Una solución adicional para mitigar este problema sin necesidad de parchear el ejecutable del servidor Redis es bloquear el acceso para evitar que los usuarios no autentificados se conecten a Redis. Esto puede hacerse de diferentes maneras: Usando herramientas de control de acceso a la red como firewalls, iptables, grupos de seguridad, etc. o Habilitando TLS y requiriendo que los usuarios se autentiquen usando certificados del lado del cliente
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en los scripts de Lua en Redis (CVE-2021-32626)
Fecha de publicación:
04/10/2021
Idioma:
Español
Redis es una base de datos en memoria de código abierto que persiste en el disco. En las versiones afectadas, los scripts de Lua especialmente diseñados que se ejecutan en Redis pueden causar el desbordamiento de la pila de Lua en la región heap de la memoria, debido a las comprobaciones incompletas de esta condición. Esto puede resultar en una corrupción de la pila y potencialmente en una ejecución de código remota . Este problema se presenta en todas las versiones de Redis con soporte para scripts Lua, a partir de la 2.6. El problema es corregido en las versiones 6.2.6, 6.0.16 y 5.0.14. Para usuarios que no puedan actualizar una solución adicional para mitigar el problema sin parchear el ejecutable del servidor Redis es evitar que los usuarios ejecuten scripts Lua. Esto puede hacerse usando ACL para restringir los comandos EVAL y EVALSHA
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en los parámetros de configuración proto-max-bulk-len y client-query-buffer-limit en Redis (CVE-2021-32627)
Fecha de publicación:
04/10/2021
Idioma:
Español
Redis es una base de datos en memoria de código abierto que persiste en el disco. En las versiones afectadas, un bug de desbordamiento de enteros en Redis puede ser explotado para corromper la pila y resultar potencialmente en una ejecución de código remota . La vulnerabilidad consiste en cambiar los parámetros de configuración predeterminados proto-max-bulk-len y client-query-buffer-limit a valores muy grandes y construir elementos de flujo muy grandes especialmente diseñados. El problema es corregido en Redis 6.2.6, 6.0.16 y 5.0.14. Para usuarios que no puedan actualizar, una solución adicional para mitigar el problema sin parchear el ejecutable de redis-server es evitar que los usuarios modifiquen el parámetro de configuración proto-max-bulk-len. Esto puede hacerse usando ACL para restringir a usuarios sin privilegios el uso del comando CONFIG SET
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la estructura de datos ziplist en los parámetros de configuración de ziplist en Redis (CVE-2021-32628)
Fecha de publicación:
04/10/2021
Idioma:
Español
Redis es una base de datos en memoria de código abierto que persiste en el disco. Un bug de desbordamiento de enteros en la estructura de datos ziplist usada por todas las versiones de Redis puede ser explotado para corromper la pila y potencialmente resultar en una ejecución de código remota. La vulnerabilidad implica la modificación de los parámetros de configuración de ziplist por defecto (hash-max-ziplist-entries, hash-max-ziplist-value, zset-max-ziplist-entries o zset-max-ziplist-value) a un valor muy grande, y luego la construcción de comandos especialmente diseñados para crear ziplists muy grandes. El problema es corregido en las versiones de Redis 6.2.6, 6.0.16 y 5.0.14. Una solución adicional para mitigar el problema sin necesidad de parchear el ejecutable de redis-server es evitar que los usuarios modifiquen los parámetros de configuración anteriores. Esto puede hacerse usando ACL para restringir a usuarios sin privilegios el uso del comando CONFIG SET
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el parámetro de configuración set-max-intset-entries en Redis (CVE-2021-32687)
Fecha de publicación:
04/10/2021
Idioma:
Español
Redis es una base de datos en memoria de código abierto que persiste en el disco. Un error de desbordamiento de enteros que afecta a todas las versiones de Redis puede ser explotado para corromper la pila y potencialmente ser usado para filtrar contenidos arbitrarios de la pila o desencadenar una ejecución de código remota . La vulnerabilidad implica cambiar el parámetro de configuración por defecto set-max-intset-entries a un valor muy grande y construir comandos especialmente diseñados para manipular conjuntos. El problema se ha corregido en las versiones de Redis 6.2.6, 6.0.16 y 5.0.14. Una solución adicional para mitigar el problema sin parchear el ejecutable de redis-server es evitar que los usuarios modifiquen el parámetro de configuración set-max-intset-entries. Esto puede hacerse usando ACL para restringir a usuarios sin privilegios el uso del comando CONFIG SET
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades