Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los paquetes de red en la funcionalidad SeaMax remote configuration de Sealevel Systems, Inc. SeaConnect 370W (CVE-2021-21965)
Fecha de publicación:
04/02/2022
Idioma:
Español
Se presenta una vulnerabilidad de denegación de servicio en la funcionalidad SeaMax remote configuration de Sealevel Systems, Inc. SeaConnect 370W versión v1.3.34. Los paquetes de red especialmente diseñados pueden conllevar a una denegación de servicio. Un atacante puede enviar un paquete malicioso para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/07/2022

Vulnerabilidad en una serie de cargas útiles MQTT en la funcionalidad OTA Update u-download de Sealevel Systems, Inc. SeaConnect 370W (CVE-2021-21962)
Fecha de publicación:
04/02/2022
Idioma:
Español
Se presenta una vulnerabilidad de desbordamiento del búfer en la región heap de la memoria en la funcionalidad OTA Update u-download de Sealevel Systems, Inc. SeaConnect 370W versión v1.3.34. Una serie de cargas útiles MQTT especialmente diseñadas pueden conllevar a una ejecución de código remota. Un atacante debe llevar a cabo un ataque de tipo man-in-the-middle para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
29/07/2022

Vulnerabilidad en la funcionalidad Web Server Sealevel Systems, Inc. SeaConnect 370W (CVE-2021-21963)
Fecha de publicación:
04/02/2022
Idioma:
Español
Se presenta una vulnerabilidad de divulgación de información en la funcionalidad Web Server Sealevel Systems, Inc. SeaConnect 370W versión v1.3.34. Un ataque de tipo man-in-the-middle especialmente diseñado puede conllevar a una divulgación de información confidencial. Un atacante puede llevar a cabo un ataque de tipo man-in-the-middle para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/07/2022

Vulnerabilidad en un paquete de red en la funcionalidad NBNS de Sealevel Systems, Inc. SeaConnect 370W (CVE-2021-21961)
Fecha de publicación:
04/02/2022
Idioma:
Español
Se presenta una vulnerabilidad de desbordamiento del búfer en la región stack de la memoria en la funcionalidad NBNS de Sealevel Systems, Inc. SeaConnect 370W versión v1.3.34. Un paquete de red especialmente diseñado puede conllevar a una ejecución de código remota. Un atacante puede enviar un paquete malicioso para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/07/2022

Vulnerabilidad en la funcionalidad MQTTS de Sealevel Systems, Inc. SeaConnect 370W (CVE-2021-21959)
Fecha de publicación:
04/02/2022
Idioma:
Español
Se presenta un error de configuración en la funcionalidad MQTTS de Sealevel Systems, Inc. SeaConnect 370W versión v1.3.34. Esta configuración errónea simplifica significativamente un ataque de tipo man-in-the-middle, que conlleva directamente a un control de la funcionalidad device
Gravedad CVSS v3.1: ALTA
Última modificación:
29/07/2022

Vulnerabilidad en los dispositivos Z-Wave de Sierra Designs (alrededor de 2013) y Silicon Labs (CVE-2013-20003)
Fecha de publicación:
04/02/2022
Idioma:
Español
Los dispositivos Z-Wave de Sierra Designs (alrededor de 2013) y Silicon Labs (que usan seguridad S0) pueden usar una clave de red conocida y compartida de todos los ceros, lo que permite a un atacante dentro del rango de radio falsificar el tráfico Z-Wave
Gravedad CVSS v3.1: ALTA
Última modificación:
09/02/2022

Vulnerabilidad en la especificación Z-Wave (CVE-2018-25029)
Fecha de publicación:
04/02/2022
Idioma:
Español
La especificación Z-Wave requiere que la seguridad S2 pueda ser degradada a S0 u otros protocolos menos seguros, permitiendo a un atacante dentro del rango de radio durante el emparejamiento degradar y luego explotar una vulnerabilidad diferente (CVE-2013-20003) para interceptar y falsificar el tráfico
Gravedad CVSS v3.1: ALTA
Última modificación:
09/02/2022

Vulnerabilidad en un paquete JAR en el archivo HelloWorldAddonController.java de jpress (CVE-2022-23330)
Fecha de publicación:
04/02/2022
Idioma:
Español
Una vulnerabilidad de ejecución de código remota (RCE) en el archivo HelloWorldAddonController.java de jpress versión v4.2.0, permite a atacantes ejecutar código arbitrario por medio de un paquete JAR diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
09/02/2022

Vulnerabilidad en ${"freemarker.template.utility.Execute"?new() de UJCMS Jspxcms (CVE-2022-23329)
Fecha de publicación:
04/02/2022
Idioma:
Español
Una vulnerabilidad en ${"freemarker.template.utility.Execute"?new() de UJCMS Jspxcms versión v10.2.0, permite a atacantes ejecutar comandos arbitrarios por medio de una carga de archivos maliciosos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/02/2022

Vulnerabilidad en un error en helmTemplate en el archivo repository.go en Argo CD (CVE-2022-24348)
Fecha de publicación:
04/02/2022
Idioma:
Español
Argo CD versiones anteriores a 2.1.9 y versiones 2.2.x anteriores a 2.2.4, permite un salto de directorios relacionado con los gráficos de Helm debido a un error en helmTemplate en el archivo repository.go. Por ejemplo, un atacante puede ser capaz de detectar las credenciales almacenadas en un archivo YAML
Gravedad CVSS v3.1: ALTA
Última modificación:
07/08/2024

Vulnerabilidad en el archivo options.c en atftp (CVE-2021-46671)
Fecha de publicación:
04/02/2022
Idioma:
Español
El archivo options.c en atftp versiones anteriores a 0.7.5, lee más allá del final de un array, y en consecuencia revela datos de /etc/group del lado del servidor a un cliente remoto
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2022

Vulnerabilidad en el parámetro request_uri en el plugin OIDC OP para Shibboleth Identity Provider (CVE-2022-24129)
Fecha de publicación:
04/02/2022
Idioma:
Español
El plugin OIDC OP versiones anteriores a 3.0.4, para Shibboleth Identity Provider permite un ataque de tipo server-side request forgery (SSRF) debido a una restricción insuficiente del parámetro request_uri. Esto permite a atacantes interactuar con servicios HTTP arbitrarios de terceros
Gravedad CVSS v3.1: ALTA
Última modificación:
09/02/2022
Suscribirse a Vulnerabilidades