Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el encabezado de respuesta HTTP Content-Length de SonicOS (CVE-2021-20046)
Fecha de publicación:
10/01/2022
Idioma:
Español
Un desbordamiento del búfer en la región Stack de la memoria en el encabezado de respuesta HTTP Content-Length de SonicOS permite a un atacante remoto autenticado causar una Denegación de Servicio (DoS) y potencialmente resultar en una ejecución de código en el firewall. Esta vulnerabilidad afecta a SonicOS versiones de firmware Gen 5, Gen 6 y Gen 7
Gravedad CVSS v3.1: ALTA
Última modificación:
19/01/2022

Vulnerabilidad en el encabezado de respuesta HTTP SessionID de SonicOS (CVE-2021-20048)
Fecha de publicación:
10/01/2022
Idioma:
Español
Un desbordamiento del búfer en la región Stack de la memoria en el encabezado de respuesta HTTP SessionID de SonicOS permite a un atacante remoto autenticado causar una Denegación de Servicio (DoS) y potencialmente resultar en una ejecución de código en el firewall. Esta vulnerabilidad afecta a SonicOS versiones de firmware Gen 5, Gen 6 y Gen 7
Gravedad CVSS v3.1: ALTA
Última modificación:
19/01/2022

Vulnerabilidad en un vector de ataque en el paquete realms-shim (CVE-2021-23543)
Fecha de publicación:
10/01/2022
Idioma:
Español
Todas las versiones del paquete realms-shim son vulnerables a una Omisión del Sandbox por medio de un vector de ataque de Contaminación de Prototipos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/01/2022

Vulnerabilidad en SphinxSearch en Sphinx Technologies Sphinx (CVE-2020-29050)
Fecha de publicación:
10/01/2022
Idioma:
Español
SphinxSearch en Sphinx Technologies Sphinx versiones hasta 3.1.1, permite un salto de directorio (en conjunto con CVE-2019-14511) porque el cliente mysql puede ser usado para operaciones CALL SNIPPETS y load_file en una ruta completa (por ejemplo, un archivo en el directorio /etc). NOTA: esto no está relacionado con CMUSphinx
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2022

Vulnerabilidad en mensajes SECURITY NONCE GET, SECURITY NONCE GET 2, NO OPERATION, o NIF REQUEST en los dispositivos Z-Wave en la serie 500 de Silicon Labs (CVE-2020-9060)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los dispositivos Z-Wave basados en los conjuntos de chips de la serie 500 de Silicon Labs que usan S2, incluidos, entre otros, ZooZ ZST10 versión 6.04, ZooZ ZEN20 versión 5.03, ZooZ ZEN25 versión 5.03, Aeon Labs ZW090-A versión 3. 95, y Fibaro FGWPB-111 versión 4.3, son susceptibles a una denegación de servicio y al agotamiento de recursos por medio de mensajes malformados SECURITY NONCE GET, SECURITY NONCE GET 2, NO OPERATION, o NIF REQUEST
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/09/2022

Vulnerabilidad en los dispositivos Z-Wave en los conjuntos de chips de la serie 500 de Silicon Labs (CVE-2020-9059)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los dispositivos Z-Wave basados en los conjuntos de chips de la serie 500 de Silicon Labs que usan la autenticación S0 son susceptibles a un consumo de recursos no controlados, conllevando a un agotamiento de la batería. Como ejemplo, la cerradura de puerta Schlage BE468 versión 3.42 es vulnerable y falla al abrirse con un nivel bajo de batería
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/09/2022

Vulnerabilidad en Spring Framework (CVE-2021-22060)
Fecha de publicación:
10/01/2022
Idioma:
Español
En Spring Framework versiones 5.3.0 - 5.3.13, 5.2.0 - 5.2.18, y en las versiones anteriores no soportadas, es posible que un usuario proporcione una entrada maliciosa que cause una inserción de entradas de registro adicionales. Se trata de un seguimiento de CVE-2021-22096 que protege contra tipos adicionales de entrada y en más lugares de la base de código de Spring Framework
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2022

Vulnerabilidad en el producto afectado (CVE-2021-23173)
Fecha de publicación:
10/01/2022
Idioma:
Español
El producto afectado es vulnerable a un control de acceso inapropiado, que puede permitir a un usuario autenticado conseguir acceso no autorizado a datos confidenciales
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/08/2022

Vulnerabilidad en los campos com.google.protobuf.UnknownFieldSet en protobuf-java (CVE-2021-22569)
Fecha de publicación:
10/01/2022
Idioma:
Español
Un problema en protobuf-java permitía intercalar campos com.google.protobuf.UnknownFieldSet de tal manera que eran procesados fuera de orden. Una pequeña carga útil maliciosa puede ocupar el analizador durante varios minutos al crear un gran número de objetos de corta duración que causan frecuentes y repetidas pausas. Recomendamos actualizar las bibliotecas más allá de las versiones vulnerables
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/04/2023

Vulnerabilidad en las tramas FIND_NODE_IN_RANGE en los dispositivos Z-Wave en los conjuntos de chips de la serie 700 de Silicon Labs (CVE-2020-10137)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los dispositivos Z-Wave basados en los conjuntos de chips de la serie 700 de Silicon Labs que usan S2 no autentican o cifran adecuadamente las tramas FIND_NODE_IN_RANGE, permitiendo a un atacante remoto no autenticado inyectar una trama FIND_NODE_IN_RANGE con una carga útil aleatoria no válida, negando el servicio al bloquear el procesamiento de los próximos eventos
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/01/2022

Vulnerabilidad en QTS, QuTS hero y QuTScloud (CVE-2021-38674)
Fecha de publicación:
07/01/2022
Idioma:
Español
Se ha informado de una vulnerabilidad de tipo cross-site scripting (XSS) que afecta a QTS, QuTS hero y QuTScloud. Si es explotado, esta vulnerabilidad permite a atacantes remotos inyectar código malicioso. Ya hemos corregido esta vulnerabilidad en las siguientes versiones de QTS, QuTS hero y QuTScloud: QuTS hero h4.5.4.1771 build 20210825 y posteriores QTS 4.5.4.1787 build 20210910 y posteriores QuTScloud c4.5.7.1864 y posteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/01/2022

Vulnerabilidad en las secuencias de escape, meta o de control en kubectl (CVE-2021-25743)
Fecha de publicación:
07/01/2022
Idioma:
Español
kubectl no neutraliza las secuencias de escape, meta o de control contenidas en los datos brutos que envía a un terminal. Esto incluye, pero no se limita, a los campos de cadena no estructurados en objetos como los Eventos
Gravedad CVSS v3.1: BAJA
Última modificación:
13/01/2026
Suscribirse a Vulnerabilidades