Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo drivers/gpu/drm/nouveau/nouveau_sgdma.c en la función nouveau_sgdma_create_ttm en el subsistema Nouveau DRM en el kernel de Linux (CVE-2021-20292)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se presenta un fallo reportado en el kernel de Linux en versiones anteriores a 5.9, en el archivo drivers/gpu/drm/nouveau/nouveau_sgdma.c en la función nouveau_sgdma_create_ttm en el subsistema Nouveau DRM. El problema es debido a una falta de comprobación de la existencia de un objeto antes de llevar a cabo operaciones en el objeto. Un atacante con una cuenta local con privilegios de root puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código en el contexto del kernel
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/07/2023

Vulnerabilidad en la carga de una imagen GIF en gdk-pixbuf (CVE-2021-20240)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se encontró un fallo en gdk-pixbuf en versiones anteriores a 2.42.0. Un envolvente entero que conlleva a una escritura fuera de límites puede ocurrir cuando una imagen GIF diseñada es cargada. Un atacante puede causar a unas aplicaciones bloquearse o potencialmente podría ejecutar código en el sistema de la víctima. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2025

Vulnerabilidad en el conector SAML de la biblioteca github.com/dexidp/dex en dex (CVE-2020-27847)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se presenta una vulnerabilidad en el conector SAML de la biblioteca github.com/dexidp/dex que es usado para procesar la comprobación de firma SAML. Este fallo permite a un atacante omitir la autenticación SAML. La mayor amenaza de esta vulnerabilidad es la confidencialidad, la integridad y la disponibilidad del sistema. Este fallo afecta a dex versiones anteriores a 2.27.0
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en la API REST de la cuenta en Keycloak (CVE-2020-27826)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se encontró un fallo en Keycloak versiones anteriores a 12.0.0, donde es posible actualizar los atributos de metadatos del usuario usando la API REST de la cuenta. Este fallo permite a un atacante cambiar su propio atributo NameID para hacerse pasar por el usuario administrador de cualquier aplicación en particular
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2021

Vulnerabilidad en el envío de mensajes PUB en el archivo src/xpub.cpp de ZeroMQ (CVE-2021-20237)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se encontró un fallo de consumo de recursos incontrolado (filtrado de memoria) en el archivo src/xpub.cpp de ZeroMQ en versiones anteriores a 4.3.3. Este fallo permite a un atacante remoto no autenticado enviar mensajes PUB diseñados que consumen memoria excesiva si la autenticación CURVE/ZAP está deshabilitada en el servidor, causando una denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2022

Vulnerabilidad en el envío de peticiones de suscripción de temas en el servidor de ZeroMQ (CVE-2021-20236)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se encontró un fallo en el servidor ZeroMQ en versiones anteriores a 4.3.3. Este fallo permite a un cliente malicioso causar un desbordamiento del búfer de pila en el servidor mediante el envío de peticiones de suscripción de temas diseñadas y luego cancelando la suscripción. La mayor amenaza de esta vulnerabilidad es la confidencialidad, la integridad y la disponibilidad del sistema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en los campos de datos en keycloak (CVE-2021-20195)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se encontró un fallo en keycloak en versiones anteriores a 13.0.0. Es posible que se produzca un vector de ataque de tipo XSS Autoalmacenado escalando en una toma de control completa de la cuenta debido a que los campos de datos suministrados por el usuario no sean codificados apropiadamente y es usado código Javascript para procesar los datos. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/08/2022

Vulnerabilidad en una petición POST en pki-core (CVE-2020-25715)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se encontró un fallo en pki-core versión 10.9.0. Puede ser usado una petición POST especialmente diseñada para reflejar un ataque de tipo cross-site scripting (XSS) basado en DOM para inyectar código en el formulario de consulta de búsqueda que puede ejecutarse automáticamente. La mayor amenaza de esta vulnerabilidad es la integridad de los datos
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/06/2021

Vulnerabilidad en la función csnNormalize23() en OpenLDAP (CVE-2020-25710)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se encontró un fallo en OpenLDAP en versiones anteriores a 2.4.56. Este fallo permite a un atacante que envía un paquete malicioso procesado por OpenLDAP forzar una afirmación fallida en la función csnNormalize23(). La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el soporte de emulación SCSI de QEMU (CVE-2020-35504)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se encontró un fallo de desreferencia del puntero NULL en el soporte de emulación SCSI de QEMU en versiones anteriores a 6.0.0. Este fallo permite a un usuario invitado privilegiado bloquear el proceso QEMU en el host, resultando en una denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/09/2022

Vulnerabilidad en el manejo del comando "Information Transfer" en el adaptador de bus de host SCSI am53c974 de QEMU (CVE-2020-35505)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se encontró un fallo de desreferencia del puntero NULL en la emulación del adaptador de bus de host SCSI am53c974 de QEMU en versiones anteriores a 6.0.0. Este problema ocurre mientras se maneja el comando "Information Transfer". Este fallo permite a un usuario invitado privilegiado bloquear el proceso QEMU en el host, resultando en una denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/09/2022

Vulnerabilidad en una herramienta DoS en spice (CVE-2021-20201)
Fecha de publicación:
28/05/2021
Idioma:
Español
Se encontró un fallo en spice en versiones anteriores a 0.14.92. Una herramienta DoS podría facilitar a atacantes remotos causar una denegación de servicio (consumo de CPU) al llevar a cabo muchas renegociaciones dentro de una sola conexión
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/10/2022
Suscribirse a Vulnerabilidades