Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22391)
Fecha de publicación:
02/08/2021
Idioma:
Español
Se presenta un Cálculo Incorrecto del Tamaño del Búfer en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede causar al sistema reiniciarse
Gravedad CVSS v3.1: ALTA
Última modificación:
09/12/2021

Vulnerabilidad en IBM QRadar User Behavior Analytics (CVE-2021-29757)
Fecha de publicación:
02/08/2021
Idioma:
Español
IBM QRadar User Behavior Analytics versión 4.1.1, es vulnerable a un ataque de tipo cross-site request forgery, que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas desde un usuario en el que el sitio web confía. IBM X-Force ID: 202168
Gravedad CVSS v3.1: ALTA
Última modificación:
06/08/2021

Vulnerabilidad en en MessageReader en la función sysno() en Asylo (CVE-2021-22552)
Fecha de publicación:
02/08/2021
Idioma:
Español
Una vulnerabilidad de lectura de memoria no confiable en Asylo versiones hasta 0.6.1, permite a un atacante no confiable pasar un número de syscall en MessageReader que luego es usado por la función sysno() y puede omitir una comprobación. Esto puede permitir al atacante leer la memoria desde el enclave seguro. Recomendamos actualizar a Asylo versión 0.6.3 o a versión anterior https://github.com/google/asylo/commit/90d7619e9dd99bcdb6cd28c7649d741d254d9a1a
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/08/2021

Vulnerabilidad en Korn Shell (ksh) en IBM AIX y VIOS (CVE-2021-29741)
Fecha de publicación:
02/08/2021
Idioma:
Español
IBM AIX versiones 7.1, 7.2 y VIOS versión 3.1, podrían permitir a un usuario local explotar una vulnerabilidad en Korn Shell (ksh) para alcanzar privilegios de root. IBM X-Force ID: 201478
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en los mensajes WebSocket en una URL ws:// para /webssh en aaPanel (CVE-2021-37840)
Fecha de publicación:
02/08/2021
Idioma:
Español
aaPanel versiones hasta 6.8.12, permite un ataque de tipo Cross-Site WebSocket Hijacking (CSWH) que involucra comandos del SO dentro de mensajes WebSocket en una URL ws:// para /webssh (la víctima debe tener configurado el Terminal con al menos un host). Una explotación con éxito depende del navegador usado por la víctima potencial (por ejemplo, la explotación puede ocurrir con Firefox pero no con Chrome)
Gravedad CVSS v3.1: ALTA
Última modificación:
10/08/2021

Vulnerabilidad en el Panel de Control HMI3 en el Panel Swisslog Healthcare Nexus (CVE-2021-37160)
Fecha de publicación:
02/08/2021
Idioma:
Español
Se ha detectado un problema de comprobación de firmware en el Panel de Control HMI3 en el Panel Swisslog Healthcare Nexus, operado por versiones de software anteriores a Nexus Software 7.2.5.7. No se presenta una comprobación del firmware (por ejemplo, una comprobación de la firma criptográfica) durante una carga de archivos para una actualización del firmware
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en el pool de conexiones en MongoDB Rust Driver (CVE-2021-20332)
Fecha de publicación:
02/08/2021
Idioma:
Español
Unas versiones específicas de MongoDB Rust Driver pueden incluir credenciales usadas por el pool de conexiones para autenticar conexiones en el evento de monitorización que es emitido cuando el pool es creado. La infraestructura de registro del usuario podría entonces ingerir potencialmente estos eventos y filtrar inesperadamente las credenciales. Ten cuenta que esta monitorización no está habilitada por defecto
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/09/2024

Vulnerabilidad en una estructura de datos de cola interna en el Panel de Control HMI3 contenido en el Panel Swisslog Healthcare Nexus (CVE-2021-37161)
Fecha de publicación:
02/08/2021
Idioma:
Español
Se ha detectado un problema de desbordamiento de búfer en el Panel de Control HMI3 contenido en el Panel Swisslog Healthcare Nexus, operado por versiones de software anteriores a Nexus Software 7.2.5.7. Un desbordamiento de búfer permite a un atacante sobrescribir una estructura de datos de queue interna y puede conllevar a una ejecución de código remota
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en el panel de control HMI3 de Swisslog Healthcare Nexus (CVE-2021-37163)
Fecha de publicación:
02/08/2021
Idioma:
Español
Se ha detectado un problema de permisos no seguros en el panel de control HMI3 de Swisslog Healthcare Nexus operado por versiones de software anteriores a Nexus Software 7.2.5.7. El dispositivo presenta dos cuentas de usuario con contraseñas embebidas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de un mensaje UDP en el Panel de Control HMI3 en el Panel Swisslog Healthcare Nexus (CVE-2021-37162)
Fecha de publicación:
02/08/2021
Idioma:
Español
Se ha detectado un problema de desbordamiento de búfer en el Panel de Control HMI3 en el Panel Swisslog Healthcare Nexus operado por versiones de software liberadas anteriores a Nexus Software 7.2.5.7. Si un atacante envía un mensaje UDP malformado, ocurre un desbordamiento del búfer, conllevando a una copia fuera de límites y una posible ejecución de código remota
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en la función tcpTxThread en el panel de control HMI3 en el Panel Swisslog Healthcare Nexus (CVE-2021-37164)
Fecha de publicación:
02/08/2021
Idioma:
Español
Se ha detectado un problema de desbordamiento de búfer en el panel de control HMI3 en el Panel Swisslog Healthcare Nexus que funciona con versiones de Nexus Software anteriores a 7.2.5.7. En la función tcpTxThread, los datos recibidos se copian en un búfer de pila. Puede ocurrir una condición off-by-3, resultando en un desbordamiento del búfer en la región stack de la memoria
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en el panel de control HMI3 del Panel Swisslog Healthcare Nexus (CVE-2021-37166)
Fecha de publicación:
02/08/2021
Idioma:
Español
Se ha detectado un problema de desbordamiento de búfer conllevando a una denegación de servicio en el panel de control HMI3 del Panel Swisslog Healthcare Nexus que funciona con versiones de software anteriores a Nexus Software 7.2.5.7. Cuando HMI3 se inicia, vincula un servicio local a un puerto TCP en todas las interfaces del dispositivo, y la interfaz gráfica de usuario tarda mucho tiempo en conectarse al socket TCP, permitiendo que la conexión sea secuestrada por un atacante externo
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades