Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ngx_http_lua_module en OpenResty (CVE-2020-36309)
Fecha de publicación:
06/04/2021
Idioma:
Español
ngx_http_lua_module (también se conoce como lua-nginx-module) versiones anteriores a 0.10.16 en OpenResty permite caracteres no seguros en un argumento cuando se usa la API para mutar un URI o un encabezado de petición o respuesta
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/06/2021

Vulnerabilidad en la máquina de Windows en MongoDB Compass de Windows (CVE-2021-20334)
Fecha de publicación:
06/04/2021
Idioma:
Español
Un tercero malicioso con acceso local a la máquina de Windows donde MongoDB Compass está instalado puede ejecutar software arbitrario con los privilegios del usuario que está ejecutando MongoDB Compass. Este problema afecta a: MongoDB Inc. MongoDB Compass versiones 1.x versión 1.3.0 en Windows y versiones posteriores; versiones 1.x anteriores a 1.25.0 en Windows
Gravedad CVSS v3.1: ALTA
Última modificación:
14/04/2021

Vulnerabilidad en la canalización de decodificación de audio para llamadas en WhatsApp para Android, WhatsApp Business para Android, WhatsApp para iOS y WhatsApp Business para iOS (CVE-2021-24026)
Fecha de publicación:
06/04/2021
Idioma:
Español
Una falta de comprobación de límites dentro de la tubería de decodificación de audio para llamadas de WhatsApp en WhatsApp para Android versiones anteriores a v2.21.3, WhatsApp Business para Android versiones anteriores a v2.21.3, WhatsApp para iOS versiones anteriores a v2.21.32 y WhatsApp Business para iOS versiones anteriores a v2. 21.32, podría haber permitido una escritura fuera de límites
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2021

Vulnerabilidad en el almacenamiento externo del dispositivo en WhatsApp para Android y WhatsApp Business para Android (CVE-2021-24027)
Fecha de publicación:
06/04/2021
Idioma:
Español
Un problema de configuración de caché anterior a WhatsApp para Android versión v2.21.4.18 y WhatsApp Business para Android versión v2.21.4.18, puede haber permitido a un tercero con acceso al almacenamiento externo del dispositivo leer material TLS almacenado en caché
Gravedad CVSS v3.1: ALTA
Última modificación:
30/08/2022

Vulnerabilidad en la "share of library functionality" en Seafile (CVE-2021-30146)
Fecha de publicación:
06/04/2021
Idioma:
Español
Seafile versión 7.0.5 (2019) permite un ataque de tipo XSS Persistente por medio de la "share of library functionality"
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/04/2021

Vulnerabilidad en una imagen en "umoci unpack" o "umoci raw unpack" en Open Container Initiative umoci (CVE-2021-29136)
Fecha de publicación:
06/04/2021
Idioma:
Español
Open Container Initiative umoci versiones anteriores a 0.4.7, permite a atacantes sobrescribir rutas de host arbitrarias por medio de una imagen diseñada que causa un salto de enlace simbólico cuando es usado "umoci unpack" o "umoci raw unpack"
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/05/2021

Vulnerabilidad en un archivo o en disco en TimelyBillsversiones para iOS y para Android (CVE-2021-26833)
Fecha de publicación:
06/04/2021
Idioma:
Español
Un almacenamiento de texto sin cifrar en un archivo o en disco en TimelyBills versiones anteriores a 1.7.0 incluyéndola para iOS y versiones anteriores a 1.21.115 incluyéndola para Android, permite a un atacante que puede leer localmente los archivos del usuario obtener tokens JWT para la cuenta del usuario debido a mecanismos de limpieza de caché insuficientes. Un actor de amenazas puede obtener datos confidenciales del usuario al decodificar los tokens, ya que JWT está firmado y codificado, no cifrado
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en un archivo sin extensión y con contenido HTML / JavaScript en la funcionalidad "send email" en LiquidFiles (CVE-2021-30140)
Fecha de publicación:
06/04/2021
Idioma:
Español
LiquidFiles versión 3.4.15, ha almacenado un ataque de tipo XSS por medio de la funcionalidad "send email" al enviar un archivo por correo electrónico a un administrador. Cuando un archivo no tiene extensión y contiene contenido HTML / JavaScript malicioso (como SVG con contenido HTML), la carga útil es ejecutada con un clic. Esto se corrigió en la versión 3.5
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/09/2022

Vulnerabilidad en el control de acceso basado en IP en el módulo Net::Netmask para Perl (CVE-2021-29424)
Fecha de publicación:
06/04/2021
Idioma:
Español
El módulo Net::Netmask versiones anteriores a 2.0000 para Perl no considera apropiadamente los caracteres cero extraños al comienzo de una cadena de dirección IP, lo que (en algunas situaciones) permite a atacantes omitir el control de acceso basado en direcciones IP
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Firma Criptográfica en un código de autenticación (MAC) en Union Pay (CVE-2020-36285)
Fecha de publicación:
06/04/2021
Idioma:
Español
Union Pay versiones hasta 3.3.12, para aplicaciones móviles iOS, contiene un CWE-347: Verificación Inapropiada de la vulnerabilidad de Firma Criptográfica, permite a atacantes comprar gratis en los sitios web y aplicaciones móviles de comerciantes, por medio de un código de autenticación diseñado (MAC) el cual es generado en base a una clave secreta que es NULL
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2021

Vulnerabilidad en un código de autenticación (MAC) en Union Pay (CVE-2020-36284)
Fecha de publicación:
06/04/2021
Idioma:
Español
Union Pay versiones hasta 3.4.93.4.9, para Android, contiene un CWE-347: Verificación Inapropiada de la vulnerabilidad de Firma Criptográfica, permite a atacantes comprar gratis en los sitios web y aplicaciones móviles de comerciantes, por medio de un código de autenticación (MAC) diseñado el cual es generado en base a una clave secreta que es NULL
Gravedad CVSS v3.1: ALTA
Última modificación:
09/04/2021

Vulnerabilidad en un código de autenticación (MAC) en Union Pay (CVE-2020-23533)
Fecha de publicación:
06/04/2021
Idioma:
Español
Union Pay versiones hasta 1.2.0, para versiones basadas en web, contiene un CWE-347: Verificación Inapropiada de la vulnerabilidad de Firma Criptográfica, permite a atacantes comprar gratis en los sitios web y aplicaciones móviles de comerciantes, por medio de un código de autenticación (MAC) diseñado. basado en una clave secreta que es NULL
Gravedad CVSS v3.1: ALTA
Última modificación:
05/11/2022
Suscribirse a Vulnerabilidades