Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en HPE Edgeline Infrastructure Manager (CVE-2021-29203)
Fecha de publicación:
06/05/2021
Idioma:
Español
Se ha identificado una vulnerabilidad de seguridad en HPE Edgeline Infrastructure Manager, también se conoce como software de gestión de infraestructura HPE Edgeline, versiones anteriores a 1.22. La vulnerabilidad podría ser explotada remotamente para omitir la autenticación remota que conlleva a una ejecución de comandos arbitrarios, consiguiendo acceso privilegiado, causando una denegación de servicio y cambiando la configuración. HPE ha lanzado una actualización de software para resolver la vulnerabilidad en HPE Edgeline Infrastructure Manager
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/07/2022

Vulnerabilidad en el parámetro "id" de IBM Tivoli Storage Manager (CVE-2020-28198)
Fecha de publicación:
06/05/2021
Idioma:
Español
** NO COMPATIBLE CUANDO SE ASIGNO ** El parámetro "id" de IBM Tivoli Storage Manager Versión 5 Release 2 (Interfaz Administrativa de Línea de Comandos, dsmadmc.exe) es vulnerable a un desbordamiento del búfer de la pila explotable. Nota: la vulnerabilidad puede ser explotada cuando es usado en modo "interactive" mientras que, debido a una limitación del número máximo de caracteres, no puede ser explotado en el uso por lotes o en la línea de comandos (por ejemplo, dsmadmc.exe -id=username -password=pwd) . NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el mantenedor
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2024

Vulnerabilidad en el plugin SNMP en Stormshield SNS (CVE-2021-28665)
Fecha de publicación:
06/05/2021
Idioma:
Español
Stormshield SNS con versiones anteriores a 3.7.18, 3.11.6 y 4.1.6, presenta un fallo de administración de la memoria en el plugin SNMP que puede conllevar a un consumo excesivo de la memoria y recursos de CPU, y posiblemente a una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
20/08/2024

Vulnerabilidad en el módulo Tickets de kennnyshiwa-cogs (CVE-2021-29493)
Fecha de publicación:
06/05/2021
Idioma:
Español
Kennnyshiwa-cogs, contiene cogs para Red Discordbot. Se ha encontrado una explotación de una RCE en el módulo Tickets de kennnyshiwa-cogs. Esta explotación permite a usuarios de Discord diseñar un mensaje que puede divulgar información confidencial y dañina. Los usuarios pueden actualizar a la versión 5a84d60018468e5c0346f7ee74b2b4650a6dade7 para recibir un parche o, como solución alternativa, descargar tickets para inutilizar la explotación
Gravedad CVSS v3.1: ALTA
Última modificación:
06/11/2023

Vulnerabilidad en peticiones HTTP en Open Distro para Elasticsearch (ODFE) (CVE-2021-31828)
Fecha de publicación:
06/05/2021
Idioma:
Español
Un problema de SSRF en Open Distro para Elasticsearch (ODFE) versiones anteriores a 1.13.1.0, permite a un usuario privilegiado existente enumerar los servicios de escucha o interactuar con los recursos configurados por medio de peticiones HTTP que exceden el alcance previsto del plugin Alerting
Gravedad CVSS v3.1: ALTA
Última modificación:
18/05/2021

Vulnerabilidad en el archivo /admin/functions.php en puppyCMS (CVE-2020-18890)
Fecha de publicación:
06/05/2021
Idioma:
Español
Una vulnerabilidad de ejecución de código remoto (RCE) en puppyCMS versión v5.1, debido a permisos no seguros, que podrían permitir a un usuario malicioso remoto acceder por medio del archivo /admin/functions.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/05/2021

Vulnerabilidad en el archivo /admin/functions.php en el file/folder en puppyCMS (CVE-2020-18888)
Fecha de publicación:
06/05/2021
Idioma:
Español
Una vulnerabilidad de eliminación arbitraria de archivos en puppyCMS v5.1 permite a atacantes maliciosos remotos eliminar el file/folder por medio del archivo /admin/functions.php
Gravedad CVSS v3.1: ALTA
Última modificación:
12/05/2021

Vulnerabilidad en el archivo drivers/md/dm-ioctl.c en la función list_devices en el módulo de controlador Multi-device en el kernel de Linux (CVE-2021-31916)
Fecha de publicación:
06/05/2021
Idioma:
Español
Se encontró un fallo de escritura de la memoria fuera de límites (OOB) en la función list_devices en el archivo drivers/md/dm-ioctl.c en el módulo de controlador Multi-device en el kernel de Linux versiones anteriores a 5.12. Un fallo de comprobación limitada permite a un atacante con privilegios de usuario especial (CAP_SYS_ADMIN) conseguir acceso a la memoria fuera de límites, conllevando a un bloqueo del sistema o una filtración de información interna del kernel. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en el URI /snapshot en los dispositivos NightOwl WDB-20-V2 (CVE-2021-31793)
Fecha de publicación:
06/05/2021
Idioma:
Español
Se presenta un problema en los dispositivos NightOwl WDB-20-V2 WDB-20-V2_20190314, que permite a un usuario no autenticado conseguir acceso a snapshots y video streams desde el doorbell. La aplicación binaria ofrece un servidor web en el puerto 80 que permite a un usuario no autenticado tomar una instantánea de la camera doorbell por medio del URI /snapshot
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el archivo de registro de Ansible en Red Hat Openstack (CVE-2021-31918)
Fecha de publicación:
06/05/2021
Idioma:
Español
Se encontró un fallo en la versión tripleo-ansible como es enviado en Red Hat Openstack versión 16.1. El archivo de registro de Ansible es legible para todos los usuarios durante la actualización y creación de la pila. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2022

Vulnerabilidad en el archivo /admin/settings.php en puppyCMS (CVE-2020-18889)
Fecha de publicación:
06/05/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en puppyCMS versión v5.1, que puede cambiar la contraseña del administrador por medio del archivo /admin/settings.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/05/2021

Vulnerabilidad en el análisis de peers key-value en ModSecurity (CVE-2019-25043)
Fecha de publicación:
06/05/2021
Idioma:
Español
ModSecurity versiones 3.x anteriores a 3.0.4, maneja inapropiadamente el análisis de peers key-value, como es demostrado por un error de "string index out of range" y un bloqueo del proceso de trabajo para un encabezado "Cookie:=abc"
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2025
Suscribirse a Vulnerabilidades