Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Dell EMC Streaming Data Platform (CVE-2021-36327)
Fecha de publicación:
30/11/2021
Idioma:
Español
Dell EMC Streaming Data Platform versiones anteriores a 1.3, contienen una Vulnerabilidad de tipo Server Side Request Forgery. Un atacante remoto no autenticado puede explotar potencialmente esta vulnerabilidad para llevar a cabo un escaneo de puertos de redes internas y realizar peticiones HTTP a un dominio arbitrario de la elección del atacante
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2021

Vulnerabilidad en bookstack (CVE-2021-4026)
Fecha de publicación:
30/11/2021
Idioma:
Español
bookstack es vulnerable a un Control de Acceso Inapropiado
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2022

Vulnerabilidad en la recepción de respuestas LMP continuas no solicitadas en la implementación de Bluetooth Classic en los conjuntos de chips Actions ATS2815 (CVE-2021-31787)
Fecha de publicación:
30/11/2021
Idioma:
Español
La implementación de Bluetooth Classic en los conjuntos de chips Actions ATS2815 no maneja apropiadamente la recepción de respuestas LMP continuas no solicitadas, que permite a atacantes en el rango de radio desencadenar una denegación de servicio y el apagado de un dispositivo mediante la inundación del dispositivo de destino con paquetes LMP_features_res
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/12/2021

CVE-2021-43320
Fecha de publicación:
30/11/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2021-41244. Reason: This candidate is a reservation duplicate of CVE-2021-41244. Notes: All CVE users should reference CVE-2021-41244 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en la subcadena "(meta http-equiv="refresh"' en el parámetro del editor en Cryptshare (CVE-2021-42564)
Fecha de publicación:
30/11/2021
Idioma:
Español
Una redirección abierta mediante la inyección de HTML en mensajes confidenciales en Cryptshare versiones anteriores a 5.1.0, permite a atacantes remotos (con permiso para proporcionar mensajes confidenciales por medio de Cryptshare) redirigir a las víctimas objetivo a cualquier URL por medio de la subcadena "(meta http-equiv="refresh"' en el parámetro del editor
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2021

Vulnerabilidad en Concrete CMS (CVE-2021-40101)
Fecha de publicación:
30/11/2021
Idioma:
Español
Se ha detectado un problema en Concrete CMS versiones anteriores a 8.5.7. El Dashboard permite cambiar la contraseña de un usuario sin que le sea pedida la contraseña actual
Gravedad CVSS v3.1: ALTA
Última modificación:
01/12/2021

Vulnerabilidad en el módulo Accounts en Zoho ManageEngine SupportCenter Plus (CVE-2021-43295)
Fecha de publicación:
30/11/2021
Idioma:
Español
Zoho ManageEngine SupportCenter Plus versiones anteriores a 11016, es vulnerable a un ataque de tipo XSS Reflejado en el módulo Accounts
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2022

Vulnerabilidad en ActionExecutor en Zoho ManageEngine SupportCenter Plus (CVE-2021-43296)
Fecha de publicación:
30/11/2021
Idioma:
Español
Zoho ManageEngine SupportCenter Plus versiones anteriores a 11016, es vulnerable a un ataque de tipo SSRF en ActionExecutor
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2022

Vulnerabilidad en la comprobación de la funcionalidad Ping en Zoho ManageEngine Network Configuration Manager (CVE-2021-43319)
Fecha de publicación:
30/11/2021
Idioma:
Español
Zoho ManageEngine Network Configuration Manager versiones anteriores a 125488, es vulnerable a una inyección de comandos debido a que la comprobación de la funcionalidad Ping no es apropiada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/04/2022

Vulnerabilidad en PortSwigger Burp Suite Enterprise Edition (CVE-2021-44230)
Fecha de publicación:
30/11/2021
Idioma:
Español
PortSwigger Burp Suite Enterprise Edition versiones anteriores a 2021.11 en Windows presenta permisos de archivo débiles para la base de datos H2 insertada, que podría conllevar a una escalada de privilegios. Este problema puede ser explotado por un adversario que ya ha comprometido una cuenta válida de Windows en el servidor por medio de otros medios. En este escenario, la cuenta comprometida puede haber heredado el acceso de lectura a una configuración confidencial, la base de datos y los archivos de registro
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/12/2021

Vulnerabilidad en el módulo Products en Zoho ManageEngine SupportCenter Plus (CVE-2021-43294)
Fecha de publicación:
30/11/2021
Idioma:
Español
Zoho ManageEngine SupportCenter Plus versiones anteriores a 11016, es vulnerable a un ataque de tipo XSS Reflejado en el módulo Products
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/04/2022

Vulnerabilidad en la contraseña SSH de root en los dispositivos Victure WR1200 (CVE-2021-43284)
Fecha de publicación:
30/11/2021
Idioma:
Español
Se ha detectado un problema en los dispositivos Victure WR1200 versiones hasta 1.0.3. La contraseña SSH de root nunca es actualizada desde su valor por defecto de admin. Esto permite a un atacante conseguir el control del dispositivo mediante SSH (independientemente de que la contraseña de administrador haya sido cambiada en la interfaz web)
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2021
Suscribirse a Vulnerabilidades