Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PHPGurukul Employee Record Management System (CVE-2020-35427)
Fecha de publicación:
20/07/2021
Idioma:
Español
Una vulnerabilidad de inyección SQL en PHPGurukul Employee Record Management System versión 1.1, permite a atacantes remotos ejecutar comandos SQL arbitrario y omitir una autenticación
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/09/2023

Vulnerabilidad en los encabezados Content-Type en geckodriver (CVE-2020-15660)
Fecha de publicación:
20/07/2021
Idioma:
Español
Una falta de comprobación de los encabezados Content-Type en geckodriver versiones anteriores a 0.27.0, podría conllevar una vulnerabilidad de tipo CSRF, que podría, cuando se combina con una petición específicamente preparada, conllevar a una ejecución de código remota
Gravedad CVSS v3.1: ALTA
Última modificación:
22/02/2022

Vulnerabilidad en la página network/create/ y su parámetro network name en Faraday Edge (CVE-2021-27338)
Fecha de publicación:
20/07/2021
Idioma:
Español
Faraday Edge versiones anteriores a 3.7, permite un ataque de tipo XSS por medio de la página network/create/ y su parámetro network name
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/07/2021

Vulnerabilidad en la carga de un documento PDF en Foxit PDF SDK For Web (CVE-2021-27517)
Fecha de publicación:
20/07/2021
Idioma:
Español
Foxit PDF SDK For Web versiones hasta 7.5.0, permite un ataque de tipo XSS. Se presenta una ejecución de código JavaScript arbitrario en el navegador si una víctima carga un documento PDF malicioso conteniendo código JavaScript insertado que abusa de app.alert (en la API JavaScript de Acrobat)
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/07/2021

Vulnerabilidad en la inyección de paquetes o de un archivo de captura en el disector DNP en Wireshark (CVE-2021-22235)
Fecha de publicación:
20/07/2021
Idioma:
Español
Un bloqueo en el disector DNP en Wireshark versiones 3.4.0 hasta 3.4.6 y versiones 3.2.0 hasta 3.2.14, permite una denegación de servicio por medio de la inyección de paquetes o un archivo de captura diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2022

Vulnerabilidad en una consulta SQL en Puppet DB (CVE-2021-27021)
Fecha de publicación:
20/07/2021
Idioma:
Español
Se ha detectado un fallo en Puppet DB, este fallo resulta en una escalada de privilegios que permite al usuario eliminar tablas por medio de una consulta SQL
Gravedad CVSS v3.1: ALTA
Última modificación:
24/01/2022

Vulnerabilidad en la alteración del contenido de un archivo de configuración en el módulo sniffer de FortiSandbox (CVE-2021-22125)
Fecha de publicación:
20/07/2021
Idioma:
Español
Una instancia de neutralización inapropiada de elementos especiales en el módulo sniffer de FortiSandbox versiones anteriores a 3.2.2, puede permitir a un administrador autenticado ejecutar comandos en el shell del sistema subyacente por medio de la alteración del contenido de su archivo de configuración
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2022

Vulnerabilidad en Trend Micro Apex One, Apex One as a Service (SaaS), Worry-Free Business Security y Worry-Free Services (CVE-2021-32463)
Fecha de publicación:
20/07/2021
Idioma:
Español
Una vulnerabilidad de denegación de servicio por asignación de permisos incorrecta en Trend Micro Apex One, Apex One as a Service (SaaS), Worry-Free Business Security versión 10.0 SP1 y Worry-Free Services, podría permitir a un atacante local escalar privilegios y eliminar archivos con privilegios del sistema en las instalaciones afectadas. Nota: un atacante debe obtener primero la habilidad de ejecutar código poco privilegiado en el sistema de destino para poder explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
02/08/2021

Vulnerabilidad en la ejecución del comando "diagnose system geoip-city" en FortiAnalyzer CLI y FortiManager CLI (CVE-2021-24022)
Fecha de publicación:
20/07/2021
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en FortiAnalyzer CLI versiones 6.4.5 y posteriores, versiones 6.2.7 y posteriores, versiones 6.0.x y FortiManager CLI versiones 6.4.5 y posteriores, 6.2.7 y posteriores, 6.0.x, puede permitir a un atacante local autenticado llevar a cabo un ataque de Denegación de Servicio al ejecutar el comando "diagnose system geoip-city" con un valor de ip grande
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/07/2021

Vulnerabilidad en la administración de sesiones en FortiMail (CVE-2021-26095)
Fecha de publicación:
20/07/2021
Idioma:
Español
Una combinación de varios problemas criptográficos en la administración de sesiones de FortiMail versiones 6.4.0 hasta 6.4.4 y versiones 6.2.0 hasta 6.2.6, incluyéndo la construcción del cifrado de la cookie de sesión, puede permitir a un atacante remoto que ya esté en posesión de una cookie, a posiblemente revelar y alterar o falsificar su contenido, escalando así los privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en el componente ActiveX en XPLATFORM (CVE-2020-7866)
Fecha de publicación:
20/07/2021
Idioma:
Español
Cuando es usado XPLATFORM versiones 9.2.2.270 o anteriores del componente ActiveX, se pueden ejecutar comandos arbitrarios debido a una comprobación de entrada inapropiada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/07/2021

Vulnerabilidad en la función Pl_ASCII85Decoder::write en QPDF (CVE-2021-36978)
Fecha de publicación:
20/07/2021
Idioma:
Español
QPDF versiones 9.x hasta 9.1.1 y versiones 10.x hasta 10.0.4, presenta un desbordamiento de búfer en la región heap de la memoria en la función Pl_ASCII85Decoder::write (llamado desde Pl_AES_PDF::flush y Pl_AES_PDF::finish) cuando comete un fallo una determinada escritura descendente
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2024
Suscribirse a Vulnerabilidades