Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en macOS Mojave, actualización de seguridad 2019-004 High Sierra, actualización de seguridad 2019-004 Sierra, iOS, tvOS de Apple (CVE-2019-8702)
Fecha de publicación:
23/12/2021
Idioma:
Español
Este problema se abordó con una nueva asignación de derechos. Este problema es corregido en macOS Mojave versión 10.14.6, actualización de seguridad 2019-004 High Sierra, actualización de seguridad 2019-004 Sierra, iOS versión 12.4, tvOS versión 12.4. Un usuario local puede ser capaz de leer un identificador de cuenta persistente
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/01/2022

Vulnerabilidad en macOS High Sierra de Apple (CVE-2017-13909)
Fecha de publicación:
23/12/2021
Idioma:
Español
Se presentó un problema en el almacenamiento de tokens confidenciales. Este problema se abordó al colocar los tokens en el Llavero. Este problema se ha corregido en macOS High Sierra versión 10.13. Un atacante local puede conseguir acceso a los tokens de autenticación de iCloud
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/01/2022

Vulnerabilidad en macOS High Sierra de Apple (CVE-2017-13910)
Fecha de publicación:
23/12/2021
Idioma:
Español
Se abordó un problema de acceso con restricciones adicionales de sandbox en las aplicaciones. Este problema es corregido en macOS High Sierra versión 10.13. Una aplicación puede acceder a archivos restringidos
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/01/2022

Vulnerabilidad en la carga del historial de llamadas de CallKit en iOS de Apple (CVE-2017-2375)
Fecha de publicación:
23/12/2021
Idioma:
Español
Se presentó un problema para evitar la carga del historial de llamadas de CallKit a iCloud. Este problema se abordó mediante una lógica mejorada. Este problema se ha corregido en iOS versión 10.2.1. Las actualizaciones del historial de llamadas de CallKit se envían a iCloud
Gravedad CVSS v3.1: BAJA
Última modificación:
05/01/2022

Vulnerabilidad en iOS versión 11.2, watchOS de Apple (CVE-2017-13880)
Fecha de publicación:
23/12/2021
Idioma:
Español
Se abordó un problema de corrupción de memoria con un manejo de la memoria mejorada. Este problema se ha corregido en iOS versión 11.2, watchOS versión 4.2. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios del kernel
Gravedad CVSS v3.1: ALTA
Última modificación:
06/01/2022

Vulnerabilidad en un parámetro específico en la contraseña de la API en mySCADA myPRO (CVE-2021-22657)
Fecha de publicación:
23/12/2021
Idioma:
Español
mySCADA myPRO: Versiones 8.20.0 y anteriores, presentan una función en la que es posible especificar la contraseña de la API, que puede permitir a un atacante inyectar comandos arbitrarios del sistema operativo mediante un parámetro específico
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/12/2021

Vulnerabilidad en el archivo fs/f2fs/xattr.c en la función __f2fs_setxattr en el kernel de Linux (CVE-2021-45469)
Fecha de publicación:
23/12/2021
Idioma:
Español
En la función __f2fs_setxattr en el archivo fs/f2fs/xattr.c en el kernel de Linux versiones hasta 5.15.11, se presenta un acceso a memoria fuera de límites cuando un inodo presenta una última entrada xattr no válida
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un archivo PDF (CVE-2021-40160)
Fecha de publicación:
23/12/2021
Idioma:
Español
PDFTron antes de la versión 9.0.7 puede ser forzado a leer más allá de los límites asignados al analizar un archivo PDF malicioso. Esta vulnerabilidad puede ser explotada para ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
01/05/2022

Vulnerabilidad en archivos DLL en PDF (CVE-2021-40161)
Fecha de publicación:
23/12/2021
Idioma:
Español
Una vulnerabilidad de corrupción de memoria puede conducir a la ejecución de código a través de archivos DLL maliciosamente diseñados a través de PDFTron anterior a la versión 9.0.7
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en PunktSentenceTokenizer, sent_tokenize y word_tokenize en NLTK (Natural Language Toolkit) (CVE-2021-43854)
Fecha de publicación:
23/12/2021
Idioma:
Español
NLTK (Natural Language Toolkit) es un conjunto de módulos de código abierto de Python, conjuntos de datos y tutoriales que apoyan la investigación y el desarrollo en el procesamiento del lenguaje natural. Las Versiones anteriores a 3.6.5, son vulnerables a ataques de denegación de servicio con expresiones regulares (ReDoS). La vulnerabilidad está presente en PunktSentenceTokenizer, sent_tokenize y word_tokenize. Cualquier usuario de esta clase, o de estas dos funciones, es vulnerable al ataque ReDoS. En resumen, una entrada larga específicamente diseñada para cualquiera de estas funciones vulnerables causará que tomen una cantidad significativa de tiempo de ejecución. Si su programa depende de cualquiera de las funciones vulnerables para tokenizar entradas de usuario imprevisibles, le recomendamos encarecidamente que actualice a una versión de NLTK sin la vulnerabilidad. Para usuarios que no puedan actualizarse, el tiempo de ejecución puede limitarse mediante la limitación de la longitud máxima de una entrada a cualquiera de las funciones vulnerables. Nuestra recomendación es implementar dicho límite
Gravedad CVSS v3.1: ALTA
Última modificación:
04/01/2022

Vulnerabilidad en pytorch-lightning (CVE-2021-4118)
Fecha de publicación:
23/12/2021
Idioma:
Español
pytorch-lightning es vulnerable a una Deserialización de Datos No Confiables
Gravedad CVSS v3.1: ALTA
Última modificación:
09/10/2024

Vulnerabilidad en cordova-plugin-fingerprint-aio (CVE-2021-43849)
Fecha de publicación:
23/12/2021
Idioma:
Español
cordova-plugin-fingerprint-aio es un plugin que proporciona una interfaz única y sencilla para acceder a las API de huellas dactilares tanto en Android 6+ como en iOS. En versiones anteriores a 5.0.1 la actividad exportada "de.niklasmerz.cordova.biometric.BiometricActivity" puede causar un bloqueo de la aplicación. Esta vulnerabilidad es producida porque la actividad no maneja el caso de que es solicitado con datos no válidos o vacíos, lo que resulta en un bloqueo. Cualquier aplicación de terceros puede llamar constantemente a esta actividad sin permiso. Una aplicación de terceros/atacante usando un escuchador de eventos puede detener continuamente el funcionamiento de la aplicación y hacer que la víctima no pueda abrirla. La versión 5.0.1 del cordova-plugin-fingerprint-aio ya no exporta la actividad y ya no es vulnerable. Si quieres arreglar versiones anteriores cambia el atributo android:exported en el plugin.xml a false. Actualiza a versión 5.0.1 lo antes posible
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/01/2022
Suscribirse a Vulnerabilidades