Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función JSON.stringify() en el paquete @scullyio/scully (CVE-2020-28470)
Fecha de publicación:
14/01/2021
Idioma:
Español
Esto afecta al paquete @scullyio/scully versiones anteriores a 1.0.9. El estado de transferencia se serializa con la función JSON.stringify() y luego se escribe en la página HTML
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en vectores no especificados en acmailer y acmailer DB (CVE-2021-20618)
Fecha de publicación:
14/01/2021
Idioma:
Español
Una vulnerabilidad de encadenamiento de privilegios en acmailer versiones ver. 4.0.2 y anteriores, y acmailer DB versiones ver. 1.1.4 y anteriores, permiten a atacantes remotos omitir la autenticación y alcanzar un privilegio administrativo que puede resultar en la obtención de información confidencial en el servidor por medio de vectores no especificados
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/01/2021

Vulnerabilidad en vectores no especificados en el control de acceso en acmailer y acmailer DB (CVE-2021-20617)
Fecha de publicación:
14/01/2021
Idioma:
Español
Una vulnerabilidad de control de acceso inapropiado en acmailer versiones ver. 4.0.1 y anteriores, y acmailer DB versiones ver. 1.1.3 y anteriores, permiten a atacantes remotos ejecutar un comando arbitrario del Sistema Operativo y alcanzar un privilegio administrativo que puede resultar en la obtención de información confidencial en el servidor por medio de vectores no especificados
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/07/2022

Vulnerabilidad en el requisito de 2FA en Discourse (CVE-2021-3138)
Fecha de publicación:
14/01/2021
Idioma:
Español
En Discourse versiones 2.7.0 hasta beta1, una omisión del límite de velocidad conlleva a una omisión del requisito de 2FA para determinadas formularios
Gravedad CVSS v3.1: ALTA
Última modificación:
04/01/2022

Vulnerabilidad en un socket DCCP con un objeto dccps_hc_tx_ccid en el kernel de Linux (CVE-2020-16119)
Fecha de publicación:
14/01/2021
Idioma:
Español
Una vulnerabilidad de uso de la memoria previamente liberada en el kernel de Linux explotable por un atacante local debido a la reutilización de un socket DCCP con un objeto dccps_hc_tx_ccid adjunto como oyente después de ser liberado. Corregido en el kernel de Ubuntu Linux versiones 5.4.0-51.56, 5.3.0-68.63, 4.15.0-121.123, 4.4.0-193.224, 3.13.0.182.191 y 3.2.0-149.196
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un mensaje OPC UA en KEPServerEX, ThingWorx Kepware Server, ThingWorx Industrial Connectivity, OPC-Aggregator, Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server y Software Toolbox TOP Server (CVE-2020-27263)
Fecha de publicación:
14/01/2021
Idioma:
Español
KEPServerEX: versiones v6.0 hasta v6.9, ThingWorx Kepware Server: versiones v6.8 y v6.9, ThingWorx Industrial Connectivity: Todas las versiones, OPC-Aggregator: Todas las versiones, Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server: versiones v7.68.804 y v7.66, Software Toolbox TOP Server: Todas las versiones 6.x son vulnerables a un desbordamiento de búfer en la región heap de la memoria. Abrir un mensaje OPC UA específicamente diseñado podría permitir a un atacante bloquear el servidor y potencialmente filtrar datos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2021

Vulnerabilidad en un mensaje OPC UA en KEPServerEX, ThingWorx Kepware Server, ThingWorx Industrial Connectivity, OPC-Aggregator, Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server versiones y Software Toolbox TOP Server (CVE-2020-27267)
Fecha de publicación:
14/01/2021
Idioma:
Español
KEPServerEX versiones v6.0 hasta v6.9, ThingWorx Kepware Server versiones v6.8 y v6.9, ThingWorx Industrial Connectivity (todas las versiones), OPC-Aggregator (todas las versiones), Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server versiones v7.68.804 y v7.66, y Software Toolbox TOP Server, todas las versiones 6.x, son vulnerables a un desbordamiento del búfer en la región heap de la memoria. Abrir un mensaje OPC UA específicamente diseñado podría permitir a un atacante bloquear el servidor y potencialmente filtrar datos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2021

Vulnerabilidad en un mensaje OPC UA en KEPServerEX, ThingWorx Kepware Server, ThingWorx Industrial Connectivity, OPC-Aggregator, Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server y Software Toolbox TOP Server (CVE-2020-27265)
Fecha de publicación:
14/01/2021
Idioma:
Español
KEPServerEX: versiones v6.0 hasta v6.9, ThingWorx Kepware Server: versiones v6.8 y v6.9, ThingWorx Industrial Connectivity: Todas las versiones, OPC-Aggregator: Todas las versiones, Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server: versiones v7.68.804 y v7.66, Software Toolbox TOP Server: Todas las versiones 6.x, son vulnerables a un desbordamiento de búfer en la región stack de la memoria. Abrir un mensaje OPC UA específicamente diseñado podría permitir a un atacante bloquear el servidor y ejecutar código de remotamente
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/01/2021

Vulnerabilidad en Adobe Animate (CVE-2021-21008)
Fecha de publicación:
13/01/2021
Idioma:
Español
Adobe Animate versiones 21.0 (y anteriores) está afectado por un elemento de ruta de búsqueda no controlada que podría resultar en una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Gravedad CVSS v3.1: ALTA
Última modificación:
19/01/2021

Vulnerabilidad en Adobe Captivate 2019 (CVE-2021-21011)
Fecha de publicación:
13/01/2021
Idioma:
Español
Adobe Captivate 2019 versiones 11.5.1.499 (y anteriores) está afectado por una vulnerabilidad de elemento de ruta de búsqueda no controlada que podría conllevar a una escalada de privilegios. Un atacante con permisos para escribir en el sistema de archivos podría aprovechar esta vulnerabilidad para escalar los privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
19/01/2021

Vulnerabilidad en InCopy para Windows (CVE-2021-21010)
Fecha de publicación:
13/01/2021
Idioma:
Español
InCopy versiones 15.1.1 (y anteriores) para Windows está afectado por una vulnerabilidad de ruta de búsqueda no controlada que podría resultar en una ejecución de código arbitraria en el contexto del usuario actual. La explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Gravedad CVSS v3.1: ALTA
Última modificación:
19/01/2021

Vulnerabilidad en Adobe Campaign Classic Gold Standard (CVE-2021-21009)
Fecha de publicación:
13/01/2021
Idioma:
Español
Adobe Campaign Classic Gold Standard versiones 10 (y anteriores), versiones 20.3.1 (y anteriores), versiones 20.2.3 (y anteriores), versiones 20.1.3 (y anteriores), versiones 19.2.3 (y anteriores) y versiones 19.1.7 (y anteriores), están afectados por una vulnerabilidad de tipo server-side request forgery (SSRF). Una explotación con éxito podría permitir a un atacante usar la instancia de Campaign para emitir peticiones no autorizadas hacia recursos internos o externos
Gravedad CVSS v3.1: ALTA
Última modificación:
21/01/2021
Suscribirse a Vulnerabilidades