Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la funcionalidad installation de OpenClinic GA (CVE-2020-27228)

Fecha de publicación:
13/04/2021
Idioma:
Español
Se presenta una vulnerabilidad de permisos predeterminados incorrectos en la funcionalidad installation de OpenClinic GA versión 5.173.3. Sobrescribir el binario puede resultar en una escalada de privilegios. Un atacante puede reemplazar un archivo para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
29/07/2022

Vulnerabilidad en el envio de una petición web en OpenClinic GA (CVE-2020-27227)

Fecha de publicación:
13/04/2021
Idioma:
Español
Se presenta una inyección de comando no autenticado explotable en OpenClinic GA versión 5.173.3. Las peticiones web especialmente diseñadas pueden causar que sean ejecutados comandos en el servidor. Un atacante puede enviar una petición web con parámetros que contienen parámetros específicos para desencadenar esta vulnerabilidad, lo que podría permitir la filtración de la base de datos, las credenciales del usuario y comprometer el sistema operativo subyacente
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/07/2022

Vulnerabilidad en el encabezado Authorization para el endpoint /v2/devices/add en la aplicación ZEROF Expert para dispositivos móviles (CVE-2021-30176)

Fecha de publicación:
13/04/2021
Idioma:
Español
La aplicación ZEROF Expert versión pro/2.0 para dispositivos móviles permite una inyección SQL por medio del encabezado Authorization para el endpoint /v2/devices/add
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/04/2021

Vulnerabilidad en el endpoint /HandleEvent en ZEROF Web Server (CVE-2021-30175)

Fecha de publicación:
13/04/2021
Idioma:
Español
ZEROF Web Server versión 1.0 (Abril de 2021) permite una inyección SQL por medio del endpoint /HandleEvent para la página de inicio de sesión
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/04/2021

CVE-2021-28421

Fecha de publicación:
13/04/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2021-21417. Reason: This candidate is a duplicate of CVE-2021-21417. Notes: All CVE users should reference CVE-2021-21417 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en Micro Focus Operations Agent (CVE-2021-22505)

Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de escalada de privilegios en Micro Focus Operations Agent afecta a versiones 12.0x, 12.10, 12.11, 12.12, 12.14 y 12.15. La vulnerabilidad podría ser explotada para escalar privilegios y ejecutar código bajo la cuenta del Operations Agent
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Trend Micro Password Manager (CVE-2021-28647)

Fecha de publicación:
13/04/2021
Idioma:
Español
Trend Micro Password Manager versión 5 (Consumer) es vulnerable a una vulnerabilidad de secuestro DLL que podría permitir a un atacante inyectar un archivo DLL malicioso durante el progreso de la instalación y podría ejecutar un programa malicioso cada vez que un usuario instala un programa
Gravedad CVSS v3.1: ALTA
Última modificación:
14/04/2021

Vulnerabilidad en asignación de permisos en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1 (CVE-2021-28645)

Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de asignación de permisos incorrecta en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1, podría permitir a un atacante local escalar los privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
14/04/2021

Vulnerabilidad en archivo de registro en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1 (CVE-2021-28646)

Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de permisos de archivo no segura en Trend Micro Apex One, Apex One as a Service and OfficeScan XG SP1, podría permitir a un atacante local tomar el control de un archivo de registro específico en las instalaciones afectadas
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/04/2021

Vulnerabilidad en un archivo confidencial en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1 (CVE-2021-25250)

Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de control de acceso inapropiado en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1, en un archivo confidencial podría permitir a un atacante local escalar los privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1 (CVE-2021-25253)

Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de control de acceso inapropiado en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1, en un recurso usado por el servicio podría permitir a un atacante local escalar privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en el archivo security.json en la función SaslZkACLProvider o VMParamsAllAndReadonlyDigestZkACLProvider en Apache Solr (CVE-2021-29262)

Fecha de publicación:
13/04/2021
Idioma:
Español
Cuando se inicia Apache Solr versiones anteriores a 8.8.2, configuradas con la función SaslZkACLProvider o VMParamsAllAndReadonlyDigestZkACLProvider y ningún znode security.json existente, si el usuario de solo lectura opcional está configurado, Solr no trataría ese nodo como una ruta confidencial y le permitiría ser legible. Además, con cualquier ZkACLProvider, si el archivo security.json ya está presente, Solr no actualizará automáticamente las ACL
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023