Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los dispositivos virtuales de Dell EMC (CVE-2021-36339)
Fecha de publicación:
21/01/2022
Idioma:
Español
Los dispositivos virtuales de Dell EMC versiones anteriores a 9.2.2.2, contienen cuentas de usuario no documentadas. Un usuario local malicioso puede explotar potencialmente esta vulnerabilidad para conseguir acceso privilegiado al dispositivo virtual
Gravedad CVSS v3.1: ALTA
Última modificación:
27/10/2022

Vulnerabilidad en la acción de redireccionamiento en middleware.js en el paquete @isomorphic-git/cors-proxy (CVE-2021-23664)
Fecha de publicación:
21/01/2022
Idioma:
Español
El paquete @isomorphic-git/cors-proxy versiones anteriores a 2.7.1 es vulnerable a un ataque de tipo Server-side Request Forgery (SSRF) debido a una falta de saneo y comprobación de la acción de redireccionamiento en middleware.js
Gravedad CVSS v3.1: ALTA
Última modificación:
28/01/2022

Vulnerabilidad en un archivo SVG en los paquetes convert-svg-core, convert-svg-to-png, convert-svg-to-jpeg (CVE-2021-23631)
Fecha de publicación:
21/01/2022
Idioma:
Español
Esto afecta a todas las versiones del paquete convert-svg-core; todas las versiones del paquete convert-svg-to-png; todas las versiones del paquete convert-svg-to-jpeg. Usando un archivo SVG especialmente diseñado, un atacante podría leer archivos arbitrarios del sistema de archivos y luego mostrar el contenido del archivo como un archivo PNG convertido
Gravedad CVSS v3.1: ALTA
Última modificación:
27/01/2022

Vulnerabilidad en el parámetro username en el archivo /leave_system/classes/Login.php en Sourcecodester Online Leave Management System (CVE-2021-40595)
Fecha de publicación:
21/01/2022
Idioma:
Español
Una vulnerabilidad de inyección SQL en Sourcecodester Online Leave Management System versión v1 por oretnom23, permite a atacantes ejecutar comandos SQL arbitrarios por medio del parámetro username en el archivo /leave_system/classes/Login.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/01/2022

Vulnerabilidad en el método set en el paquete min-dash (CVE-2021-23460)
Fecha de publicación:
21/01/2022
Idioma:
Español
El paquete min-dash versiones anteriores a 3.8.1 es vulnerable a una Contaminación de Prototipos por el método set debido a una falta de aplicación de los tipos de clave
Gravedad CVSS v3.1: ALTA
Última modificación:
26/01/2022

Vulnerabilidad en la variable de caché que es establecida como {} en lugar de Object.create(null) en la función cachedPathRelative en el paquete cached-path-relative (CVE-2021-23518)
Fecha de publicación:
21/01/2022
Idioma:
Español
El paquete cached-path-relative versiones anteriores a 1.1.0, es vulnerable a una Contaminación de Prototipos por medio de la variable de caché que es establecida como {} en lugar de Object.create(null) en la función cachedPathRelative, que permite el acceso a las propiedades del prototipo padre cuando el objeto es usado para crear la ruta relativa en caché. Cuando es usada la ruta de origen como __proto__, es accedido al atributo del objeto en lugar de una ruta. **Nota:** Esta vulnerabilidad es derivada de una corrección incompleta en https://security.snyk.io/vuln/SNYK-JS-CACHEDPATHRELATIVE-72573
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/02/2023

Vulnerabilidad en un archivo CSV en Mitsubishi Electric MC Works64 y en ICONICS GENESIS64 (CVE-2022-23129)
Fecha de publicación:
21/01/2022
Idioma:
Español
Una vulnerabilidad de almacenamiento de texto plano de una contraseña en Mitsubishi Electric MC Works64 versiones 4.04E (10.95.210.01) y anteriores y en ICONICS GENESIS64 versiones 10.90 a 10.97, permite a un atacante local autenticado conseguir información de autenticación y acceder a la base de datos de forma ilegal. Esto es debido a que cuando la información de configuración de GridWorX, una función de enlace de bases de datos de GENESIS64 y MC Works64, es exportada a un archivo CSV, la información de autenticación es guardada en texto plano, y un atacante que pueda acceder a este archivo CSV puede conseguir la información de autenticación
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/01/2022

Vulnerabilidad en el comando AT en el proceso de reinicio del dispositivo (CVE-2022-23728)
Fecha de publicación:
21/01/2022
Idioma:
Español
El atacante puede reiniciar el dispositivo con el comando AT en el proceso de reinicio del dispositivo. El ID de LG es LVE-SMP-210011
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/07/2022

Vulnerabilidad en Mitsubishi Electric MC Works64, en ICONICS GENESIS64, y ICONICS Hyper Historian (CVE-2022-23130)
Fecha de publicación:
21/01/2022
Idioma:
Español
Una vulnerabilidad de lectura excesiva del búfer en Mitsubishi Electric MC Works64 versiones 4.00A (10.95.201.23) a 4.04E (10.95.210.01), en ICONICS GENESIS64 versiones 10.97 y anteriores, y en ICONICS Hyper Historian versiones 10.97 y anteriores, permite a un atacante causar una condición de denegación de servicio en el servidor de la base de datos al hacer que un usuario legítimo importe un archivo de configuración que contenga procedimientos almacenados especialmente diseñados en GENESIS64 o MC Works64 y ejecute comandos contra la base de datos desde GENESIS64 o MC Works64
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/01/2026

Vulnerabilidad en Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) (CVE-2021-33846)
Fecha de publicación:
21/01/2022
Idioma:
Español
Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) versión 2.0.1.3, emite tokens de autenticación a los usuarios autenticados que están firmados con una clave de cifrado simétrica. Un atacante en posesión de la clave puede emitir JWTs válidos y suplantar a usuarios arbitrarios
Gravedad CVSS v3.1: ALTA
Última modificación:
28/01/2022

Vulnerabilidad en un parámetro GET de peticiones HTTP en Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) (CVE-2021-33848)
Fecha de publicación:
21/01/2022
Idioma:
Español
Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) versión 2.0.1.3 es vulnerable a ataques de tipo cross-site scripting reflejados. Un atacante podría inyectar JavaScript en un parámetro GET de peticiones HTTP y llevar a cabo acciones no autorizadas, como robar información interna y realizar acciones en el contexto de un usuario autenticado
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2022

Vulnerabilidad en el archivo arch/x86/kvm/lapic.c en el subsistema KVM del kernel de Linux (CVE-2021-4032)
Fecha de publicación:
21/01/2022
Idioma:
Español
Se ha encontrado una vulnerabilidad en el subsistema KVM del kernel de Linux en el archivo arch/x86/kvm/lapic.c kvm_free_lapic cuando es detectado una asignación de fallos. En este fallo, el subsistema KVM puede bloquear el kernel debido a un manejo inapropiado de los errores de memoria que se producen durante la construcción de la VCPU, lo que permite a un atacante con privilegios especiales de usuario causar una denegación de servicio. Este fallo afecta a las versiones del kernel anteriores a 5.15 rc7
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/01/2022
Suscribirse a Vulnerabilidades