Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el módulo NFC en los smartphones (CVE-2021-39996)
Fecha de publicación:
10/01/2022
Idioma:
Español
Se presenta una vulnerabilidad de desbordamiento de búfer basada en Heap con el módulo NFC en los smartphones. Una explotación con éxito de esta vulnerabilidad puede causar un desbordamiento de memoria
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/01/2022

Vulnerabilidad en la pantalla de inicio de sesión de la web de Serv-U (CVE-2021-35247)
Fecha de publicación:
10/01/2022
Idioma:
Español
La pantalla de inicio de sesión web de Serv-U para la autenticación LDAP permitía caracteres que no estaban suficientemente desinfectados. SolarWinds ha actualizado el mecanismo de entrada para realizar una validación y sanitización adicionales. Nota: No se ha detectado ninguna afectación posterior, ya que los servidores LDAP ignoraban los caracteres inadecuados. Para asegurar que la validación de la entrada se completa en todos los entornos. SolarWinds recomienda programar una actualización a la última versión de Serv-U
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/10/2025

Vulnerabilidad en el servidor web local en la impresora 3D Ultimaker S3, la impresora 3D Ultimaker S5, la impresora 3D Ultimaker 3 S-line y la Ultimaker 3 (CVE-2021-34086)
Fecha de publicación:
10/01/2022
Idioma:
Español
En la impresora 3D Ultimaker S3, la impresora 3D Ultimaker S5, la impresora 3D Ultimaker 3 S-line versiones hasta 6.3 y la Ultimaker 3 versiones hasta 5.2.16, el servidor web local aloja APIs vulnerables a ataques de tipo CSRF. No verifican las peticiones entrantes
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2022

Vulnerabilidad en el servidor web local en la impresora 3D Ultimaker S3, la impresora 3D Ultimaker S5, la impresora 3D Ultimaker 3 S-line y la Ultimaker 3 (CVE-2021-34087)
Fecha de publicación:
10/01/2022
Idioma:
Español
En la impresora 3D Ultimaker S3, la impresora 3D Ultimaker S5, la impresora 3D Ultimaker 3 S-line versiones hasta 6.3 y la Ultimaker 3 versiones hasta 5.2.16, el servidor web local puede ser usado para hacer clickjacking. Esto incluye la página de configuración
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2022

Vulnerabilidad en un EXE en la carpeta de reparación en el instalador de MS (CVE-2021-30360)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los usuarios tienen acceso al directorio donde se produce la reparación de la instalación. Dado que el instalador de MS permite a usuarios normales ejecutar la reparación, un atacante puede iniciar la reparación de la instalación y colocar un EXE especialmente diseñado en la carpeta de reparación que es ejecutada con los privilegios del cliente de acceso remoto de Check Point
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2022

Vulnerabilidad en un vector de ataque en el paquete realms-shim (CVE-2021-23594)
Fecha de publicación:
10/01/2022
Idioma:
Español
Todas las versiones del paquete realms-shim son vulnerables a la Omisión del Sandbox por medio de un vector de ataque de Contaminación de Prototipos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/01/2022

Vulnerabilidad en la función extend en el paquete extend2 (CVE-2021-23568)
Fecha de publicación:
10/01/2022
Idioma:
Español
El paquete extend2 versiones anteriores a 1.0.1, es vulnerable a una Contaminación de Prototipos por medio de la función extend debido a una fusión recursiva no segura
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
13/01/2022

Vulnerabilidad en los controladores de la serie R-30iA y R-30iB de FANUC (CVE-2021-32996)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los controladores de la serie R-30iA y R-30iB de FANUC son vulnerables a errores de coerción de enteros, que causan un bloqueo del dispositivo. Es requerido un reinicio
Gravedad CVSS v3.1: ALTA
Última modificación:
17/04/2025

Vulnerabilidad en los controladores de la serie R-30iA y R-30iB de FANUC (CVE-2021-32998)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los controladores de la serie R-30iA y R-30iB de FANUC son vulnerables a una escritura fuera de límites, que puede permitir a un atacante ejecutar código arbitrario de forma remota. Es requerido INIT START/restauración desde una copia de seguridad
Gravedad CVSS v3.1: ALTA
Última modificación:
17/04/2025

Vulnerabilidad en los dispositivos Z-Wave en los conjuntos de chips de la serie 500 de Silicon Labs (CVE-2020-9058)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los dispositivos Z-Wave basados en los conjuntos de chips de la serie 500 de Silicon Labs que usan encapsulación CRC-16, incluidos, entre otros, el Linear LB60Z-1 versión 3.5, el Dome DM501 versión 4.26 y el Jasco ZW4201 versión 4.05, no implementan el cifrado ni la protección contra repeticiones
Gravedad CVSS v3.1: ALTA
Última modificación:
18/01/2022

Vulnerabilidad en los dispositivos Z-Wave en los conjuntos de chips de las series 100, 200 y 300 de Silicon Labs (CVE-2020-9057)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los dispositivos Z-Wave basados en los conjuntos de chips de las series 100, 200 y 300 de Silicon Labs no admiten cifrado, permitiendo a un atacante dentro del alcance de la radio tomar el control o causar una denegación de servicio en un dispositivo vulnerable. Un atacante también puede capturar y reproducir el tráfico Z-Wave. Las actualizaciones de firmware no pueden abordar directamente esta vulnerabilidad, ya que es un problema con la especificación Z-Wave para estos conjuntos de chips heredados. Una forma de protegerse contra esta vulnerabilidad es usar los conjuntos de chips de las series 500 o 700 que soportan el cifrado de Seguridad 2 (S2). Como ejemplos, el Linear WADWAZ-1 versión 3.43 y WAPIRZ-1 versión 3.43 (con chipsets de la serie 300) son vulnerables
Gravedad CVSS v3.1: ALTA
Última modificación:
18/01/2022

Vulnerabilidad en los mensajes de enrutamiento en los dispositivos Z-Wave en las series 500 y 700 de Silicon Labs (CVE-2020-9061)
Fecha de publicación:
10/01/2022
Idioma:
Español
Los dispositivos Z-Wave que usan los conjuntos de chips de las series 500 y 700 de Silicon Labs, incluyendo pero sin limitarse a SiLabs UZB-7 versión 7.00, ZooZ ZST10 versión 6.04, Aeon Labs ZW090-A versión 3.95 y Samsung STH-ETH-200 versión 6.04, son susceptibles a una denegación de servicio por medio de mensajes de enrutamiento malformados
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/01/2022
Suscribirse a Vulnerabilidades