Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la visualización del centro personal en /api/user/userData?userCode=admin en MyAdmin (CVE-2021-37791)
Fecha de publicación:
30/06/2022
Idioma:
Español
MyAdmin versión v1.0, está afectado por una vulnerabilidad de control de acceso incorrecto en la visualización del centro personal en /api/user/userData?userCode=admin
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en los parámetros largos de la línea de comandos en gps-sdr-sim (CVE-2021-37778)
Fecha de publicación:
30/06/2022
Idioma:
Español
Se presenta un desbordamiento de búfer en gps-sdr-sim versión v1.0, cuando son analizados los parámetros largos de la línea de comandos, lo que puede conllevar a un DoS o una ejecución de código
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/07/2022

Vulnerabilidad en la carga de archivos en Nucleus CMS (CVE-2021-37770)
Fecha de publicación:
30/06/2022
Idioma:
Español
Nucleus CMS versión v3.71, está afectado por una vulnerabilidad en la carga de archivos. En esta vulnerabilidad, podemos usar el upload para cambiar la ruta de subida a la ruta sin el archivo Htaccess. Subir un archivo Htaccess y escribirlo en la aplicación AddType / x-httpd-php.jpg. De esta manera, un atacante puede subir una imagen con el shell, tratarla como PHP, ejecutar comandos, con el fin de derribar los recursos del sitio web
Gravedad CVSS v3.1: ALTA
Última modificación:
09/07/2022

CVE-2013-4146
Fecha de publicación:
30/06/2022
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2012-3414. Reason: This candidate is a duplicate of CVE-2012-3414. Notes: All CVE users should reference CVE-2012-3414 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en un archivo excel. la función batch add de Urtracker Premium (CVE-2022-33043)
Fecha de publicación:
30/06/2022
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en la función batch add de Urtracker Premium versión v4.0.1.1477, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de un archivo excel diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/07/2022

Vulnerabilidad en la función nft_set_desc_concat_parse() del kernel de Linux (CVE-2022-2078)
Fecha de publicación:
30/06/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en la función nft_set_desc_concat_parse() del kernel de Linux. Este fallo permite a un atacante desencadenar un desbordamiento de búfer por medio de la función nft_set_desc_concat_parse() , causando una denegación de servicio y posiblemente una ejecución de código
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2022

Vulnerabilidad en el archivo x86_emulate_insn en arch/x86/kvm/emulate.c en el módulo KVM del kernel de Linux (CVE-2022-1852)
Fecha de publicación:
30/06/2022
Idioma:
Español
Se ha encontrado un fallo de desreferencia de puntero NULL en el módulo KVM del kernel de Linux, que puede conllevar a una denegación de servicio en el archivo x86_emulate_insn en arch/x86/kvm/emulate.c. Este fallo es producido mientras es ejecutada una instrucción ilegal en el huésped en la CPU Intel
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2022

Vulnerabilidad en Ember.js (CVE-2013-4170)
Fecha de publicación:
30/06/2022
Idioma:
Español
En general, Ember.js escapa o elimina cualquier contenido suministrado por el usuario antes de insertarlo en las cadenas que serán enviadas a innerHTML. Sin embargo, la propiedad "tagName" de un "Ember.View" fue insertada en dicha cadena sin ser saneada. Esto significa que si una aplicación asigna el "tagName" de una vista a datos suministrados por el usuario, una carga útil especialmente diseñada podría ejecutar JavaScript arbitrario en el contexto del dominio actual ("XSS"). Esta vulnerabilidad sólo afecta a aplicaciones que asignan o vinculan contenido proporcionado por el usuario a "tagName"
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/07/2022

Vulnerabilidad en los binarios macGuarder y dvrHelper del firmware de las cámaras DVR/NVR/IP en múltiples productos Xiaongmai (CVE-2021-41506)
Fecha de publicación:
30/06/2022
Idioma:
Español
Xiaongmai AHB7008T-MH-V2, AHB7804R-ELS, AHB7804R-MH-V2, AHB7808R-MS-V2, AHB7808R-MS, AHB7808T-MS-V2, AHB7804R-LMS, HI3518_50H10L_S39 V4.02.R11.7601.Nat.Onvif.20170420, V4.02.R11.Nat.Onvif.20160422, V4.02.R11.7601.Nat.Onvif.20170424, V4.02.R11.Nat.Onvif.20170327, V4.02.R11.Nat.Onvif.20161205, V4.02.R11.Nat.20170301, V4.02.R12.Nat.OnvifS.20170727 está afectado por un backdoor en los binarios macGuarder y dvrHelper del firmware de las cámaras DVR/NVR/IP debido a credenciales estáticas de la cuenta root en el sistema
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en el paquete npm de deep.assign (CVE-2021-40663)
Fecha de publicación:
30/06/2022
Idioma:
Español
El paquete npm versión 0.0.0-alpha.0 de deep.assign es vulnerable a una Modificación Indebida de Atributos de Prototipos de Objetos ("Contaminación de Prototipos")
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/09/2022

Vulnerabilidad en la página de configuración de las opciones de correo en EyesOfNetwork (CVE-2021-40643)
Fecha de publicación:
30/06/2022
Idioma:
Español
EyesOfNetwork versiones anteriores a 07-07-2021, presenta una vulnerabilidad de Ejecución de Código Remota en la página de configuración de las opciones de correo. En la ubicación de la aplicación "sendmail" en la página de configuración de "cacti" (por defecto/usr/sbin/sendmail) es posible ejecutar cualquier comando, que será ejecutado cuando hagamos una prueba de la configuración ("send test mail")
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/07/2022

Vulnerabilidad en un endpoint de lote en el plugin móvil para Jira Data Center y Server (CVE-2022-26135)
Fecha de publicación:
30/06/2022
Idioma:
Español
Una vulnerabilidad en el plugin móvil para Jira Data Center y Server permite a un usuario remoto y autenticado (incluyendo un usuario que fue unido por medio de la funcionalidad sign-up) llevar a cabo un ataque de tipo server-side request forgery de lectura completa por medio de un endpoint de lote. Esto afecta a Atlassian Jira Server y Data Center desde versiones 8.0.0 anteriores a 8.13.22, desde versiones 8.14.0 anteriores a 8.20.10, desde versiones 8.21.0 anteriores a 8.22.4. Esto también afecta a las versiones de Jira Management Server y Data Center desde versiones 4.0.0 anteriores a 4.13.22, desde versiones 4.14.0 anteriores a 4.20.10 y desde versiones 4.21.0 anteriores a 4.22.4
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/10/2024
Suscribirse a Vulnerabilidades