Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los archivos en la función QPluginLoader en Qt (CVE-2020-24742)
Fecha de publicación:
09/08/2021
Idioma:
Español
Es corregido un problema en Qt versiones 5.14.0, donde la función QPluginLoader intenta cargar plugins relativos al directorio de trabajo, permitiendo a atacantes ejecutar código arbitrario por medio de archivos diseñados
Gravedad CVSS v3.1: ALTA
Última modificación:
19/08/2021

CVE-2020-24741
Fecha de publicación:
09/08/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2020-0570. Reason: This candidate is a duplicate of CVE-2020-0570. A typo caused the wrong ID to be used. Notes: All CVE users should reference CVE-2020-0570 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en JupyterLab (CVE-2021-32797)
Fecha de publicación:
09/08/2021
Idioma:
Español
JupyterLab, es una interfaz de usuario para el Proyecto Jupyter que eventualmente reemplazará al clásico Jupyter Notebook. En las versiones afectadas del notebook no confiable puede ejecutar código en la carga. En particular, JupyterLab no sanea el atributo action del html "(form)". Usando esto es posible desencadenar la comprobación del formulario fuera del propio formulario. Esto es una ejecución de código remota , pero requiere la acción del usuario para abrir un notebook
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/04/2022

Vulnerabilidad en el controlador Dell DBUtilDrv2.sys (CVE-2021-36276)
Fecha de publicación:
09/08/2021
Idioma:
Español
El controlador Dell DBUtilDrv2.sys (versiones 2.5 y 2.6) contiene una vulnerabilidad de control de acceso insuficiente que puede conllevar a una escalada de privilegios, una denegación de servicio o una divulgación de información. Es requerido el acceso de un usuario local autenticado
Gravedad CVSS v3.1: ALTA
Última modificación:
25/04/2022

Vulnerabilidad en Dell Command Update, Dell Update y Alienware Update (CVE-2021-36277)
Fecha de publicación:
09/08/2021
Idioma:
Español
Las versiones de Dell Command | Update, Dell Update y Alienware Update anteriores a la 4.3 contienen una vulnerabilidad de verificación inadecuada de la firma criptográfica. Un usuario local malintencionado y autenticado puede explotar esta vulnerabilidad ejecutando código arbitrario en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2023

Vulnerabilidad en las API de Jupyter en Jupyter notebook (CVE-2021-32798)
Fecha de publicación:
09/08/2021
Idioma:
Español
Jupyter notebook, es un entorno de cuaderno basado en la web para la computación interactiva. En las versiones afectadas, el cuaderno no fiable puede ejecutar código al cargarlo. Jupyter Notebook usa una versión obsoleta de Google Caja para sanear las entradas del usuario. Una omisión pública de Caja puede ser usado para desencadenar un ataque de tipo XSS cuando una víctima abre un documento ipynb malicioso en Jupyter Notebook. El ataque de tipo XSS permite a un atacante ejecutar código arbitrario en el ordenador de la víctima usando las API de Jupyter
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/08/2021

Vulnerabilidad en un archivo de esquema en 23andMe Yamale (CVE-2021-38305)
Fecha de publicación:
09/08/2021
Idioma:
Español
23andMe Yamale versiones anteriores a 3.0.8, permite a atacantes remotos ejecutar código arbitrario por medio de un archivo de esquema diseñado. El analizador de esquemas usa la función eval como parte de su procesamiento, e intenta protegerse de las expresiones maliciosas al limitar las funciones integradas que son pasadas a la función eval. Cuando se procesa el esquema, cada línea se ejecuta mediante la función eval de Python para que el comprobador esté disponible. Una cadena bien construida dentro de las reglas del esquema puede ejecutar comandos del sistema; así, al explotar la vulnerabilidad, un atacante puede ejecutar código arbitrario en la imagen que invoca Yamale
Gravedad CVSS v3.1: ALTA
Última modificación:
17/08/2021

Vulnerabilidad en las herramientas RACADM e IPMI en Dell OpenManage Enterprise (CVE-2021-21585)
Fecha de publicación:
09/08/2021
Idioma:
Español
Dell OpenManage Enterprise versiones anteriores a 3.6.1, contienen una vulnerabilidad de inyección de comandos del Sistema Operativo en las herramientas RACADM e IPMI. Un usuario malicioso autenticado remoto con privilegios elevados puede explotar potencialmente esta vulnerabilidad para ejecutar comandos arbitrarios del Sistema Operativo
Gravedad CVSS v3.1: ALTA
Última modificación:
13/08/2021

Vulnerabilidad en Dell OpenManage Enterprise y OpenManage Enterprise-Modular (CVE-2021-21584)
Fecha de publicación:
09/08/2021
Idioma:
Español
Dell OpenManage Enterprise versión 3.5 y OpenManage Enterprise-Modular versión 1.30.00, contienen una vulnerabilidad de divulgación de información. Un atacante autenticado poco privilegiado puede explotar esta vulnerabilidad conllevando a una divulgación de las credenciales del servidor OIDC
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/08/2021

Vulnerabilidad en el envío de datos malformados en Dell OpenManage Enterprise (CVE-2021-21564)
Fecha de publicación:
09/08/2021
Idioma:
Español
Dell OpenManage Enterprise versiones anteriores a 3.6.1, contienen una vulnerabilidad de autenticación inapropiada. Un atacante remoto no autenticado puede explotar potencialmente esta vulnerabilidad para secuestrar una sesión elevada o llevar a cabo acciones no autorizadas mediante el envío de datos malformados
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/10/2022

Vulnerabilidad en Dell OpenManage Enterprise (CVE-2021-21596)
Fecha de publicación:
09/08/2021
Idioma:
Español
Dell OpenManage Enterprise versiones 3.4 hasta 3.6.1 y Dell OpenManage Enterprise Modular versiones 1.20.00 hasta 1.30.00, contienen una vulnerabilidad de ejecución de código remota. Un atacante malicioso con acceso a la subred inmediata puede explotar potencialmente esta vulnerabilidad conllevando a una divulgación de información y una posible elevación de privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
24/10/2022

Vulnerabilidad en los metadatos de un archivo de imagen en Exiv2 (CVE-2021-37615)
Fecha de publicación:
09/08/2021
Idioma:
Español
Exiv2 es una utilidad de línea de comandos y una biblioteca de C++ para leer, escribir, eliminar y modificar los metadatos de los archivos de imagen. Se encontró una desreferencia de puntero null En versiones v0.27.4 y anteriores a Exiv2. La desreferencia de puntero null es desencadenada cuando Exiv2 es usado para imprimir los metadatos de un archivo de imagen diseñado. Un atacante podría explotar potencialmente la vulnerabilidad para causar una denegación de servicio, si puede engañar a la víctima para que ejecute Exiv2 en un archivo de imagen diseñado. Tenga en cuenta que este bug sólo es desencadenado cuando se imprimen los datos interpretados (traducidos), que es una operación de Exiv2 que es usada con menos frecuencia y que requiere una opción adicional en la línea de comandos ("-p t" o "-P t"). El bug es corregido en versión v0.27.5
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2023
Suscribirse a Vulnerabilidades