Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WP_Query en WordPress (CVE-2022-21661)
Fecha de publicación:
06/01/2022
Idioma:
Español
WordPress es un sistema de administración de contenidos gratuito y de código abierto escrito en PHP y emparejado con una base de datos MariaDB. Debido a un saneo inapropiado en WP_Query, puede haber casos en los que la inyección SQL es posible mediante plugins o temas que lo usan de una manera determinada. Esto ha sido parcheado en WordPress versión 5.8.3. Las versiones más antiguas afectadas también han sido corregidas por medio de un security release, que remonta hasta la versión 3.7.37. Le recomendamos encarecidamente que mantenga habilitadas las actualizaciones automáticas. No se presentan medidas de mitigación conocidas para esta vulnerabilidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/08/2025

Vulnerabilidad en Insta HMS (CVE-2021-42841)
Fecha de publicación:
06/01/2022
Idioma:
Español
Insta HMS versiones anteriores a 12.4.10, es vulnerable a un ataque de tipo XSS debido a una comprobación inapropiada de la entrada suministrada por el usuario por parte de múltiples scripts. Un atacante remoto podría aprovechar esta vulnerabilidad por medio de una URL diseñada para ejecutar un script en el navegador web de la víctima dentro del contexto de seguridad del sitio web de alojamiento, una vez que se haga clic en la URL. Un atacante podría usar esta vulnerabilidad para robar las credenciales de autenticación basadas en cookies de la víctima.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/01/2022

Vulnerabilidad en la función gf_list_count en GPAC (CVE-2021-46043)
Fecha de publicación:
06/01/2022
Idioma:
Español
Se presenta una vulnerabilidad de desreferencia de Puntero en GPAC versión 1.0.1, en la función gf_list_count, que causa una Denegación de Servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2023

Vulnerabilidad en el archivo ShiftMetaOffset.isra en GPAC (CVE-2021-46044)
Fecha de publicación:
06/01/2022
Idioma:
Español
Se presenta vulnerabilidad de desreferencia de Puntero en GPAC versión 1.0.1, por medio del archivo ShiftMetaOffset.isra, que causa una Denegación de Servicio (dependiente del contexto).
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2023

Vulnerabilidad en la función shift_chunk_offsets.par en GPAC (CVE-2021-46039)
Fecha de publicación:
06/01/2022
Idioma:
Español
Se presenta una vulnerabilidad de Desreferencia de Puntero en GPAC versión 1.0.1, por medio de la función shift_chunk_offsets.part, que causa una Denegación de Servicio (dependiente del contexto).
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2023

Vulnerabilidad en la función finplace_shift_moov_meta_offsets en GPAC (CVE-2021-46040)
Fecha de publicación:
06/01/2022
Idioma:
Español
Se presenta una vulnerabilidad de Desreferencia de Puntero en GPAC versión 1.0.1, por medio de la función finplace_shift_moov_meta_offsets, que causa una Denegación de Servicio (dependiente del contexto).
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2023

Vulnerabilidad en la función co64_box_new en GPAC (CVE-2021-46041)
Fecha de publicación:
06/01/2022
Idioma:
Español
Se presenta una vulnerabilidad de fallo de segmentación en GPAC versión 1.0.1, por medio de la función co64_box_new, que causa una Denegación de Servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2023

Vulnerabilidad en la función _fseeko en GPAC (CVE-2021-46042)
Fecha de publicación:
06/01/2022
Idioma:
Español
Se presenta una vulnerabilidad de Desreferencia de Puntero en GPAC versión 1.0.1, por medio de la función _fseeko, que causa una Denegación de Servicio.
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2023

Vulnerabilidad en el SDK .NET de Apache Avro (CVE-2021-43045)
Fecha de publicación:
06/01/2022
Idioma:
Español
Una vulnerabilidad en el SDK .NET de Apache Avro permite a un atacante asignar recursos excesivos, causando potencialmente un ataque de denegación de servicio. Este problema afecta a las aplicaciones .NET que usan Apache Avro versiones 1.10.2 y anteriores. Los usuarios deben actualizar a versión 1.11.0, que aborda este problema.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/09/2023

Vulnerabilidad en bookstack (CVE-2021-4194)
Fecha de publicación:
06/01/2022
Idioma:
Español
bookstack es vulnerable a un Control de Acceso Inapropiado
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/07/2022

Vulnerabilidad en el controlador de netback de Linux (CVE-2021-28714)
Fecha de publicación:
06/01/2022
Idioma:
Español
Un huésped puede forzar al controlador de netback de Linux a acaparar grandes cantidades de memoria del kernel E[ste registro de información CNA es relacionado con múltiples CVEs; el texto explica qué aspectos/vulnerabilidades corresponden a cada CVE]. Los paquetes de datos entrantes para un huésped en el controlador de netback del kernel de Linux son almacenados en el búfer hasta que el huésped está listo para procesarlos. Son tomadas algunas medidas para evitar que sean acumulados demasiados datos, pero éstas pueden ser obviadas por el huésped: Se presenta un tiempo de espera en el que el lado del cliente de una interfaz puede dejar de consumir nuevos paquetes antes de que sea asumido que ha sido estancado, pero este tiempo de espera es bastante largo (60 segundos por defecto). Usando una conexión UDP en una interfaz rápida pueden acumularse fácilmente gigabytes de datos en ese tiempo. (CVE-2021-28715) El tiempo de espera podría incluso no dispararse nunca si el huésped consigue tener sólo una ranura libre en su página de anillo de cola RX y el siguiente paquete requeriría más de una ranura libre, lo que puede ser el caso cuando se usa OSG, XDP o hashing de software. (CVE-2021-28714)
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en el controlador de netback de Linux (CVE-2021-28715)
Fecha de publicación:
06/01/2022
Idioma:
Español
Un huésped puede forzar al controlador de netback de Linux a acaparar grandes cantidades de memoria del kernel Este registro de información CNA está relacionado con múltiples CVEs; el texto explica qué aspectos/vulnerabilidades corresponden a cada CVE]. Los paquetes de datos entrantes para un huésped en el controlador de netback del kernel de Linux son almacenados en el búfer hasta que el huésped está listo para procesarlos. Son tomadas algunas medidas para evitar que sean acumulados demasiados datos, pero éstas pueden ser obviadas por el huésped: Se presenta un tiempo de espera en el que el lado del cliente de una interfaz puede dejar de consumir nuevos paquetes antes de que sea asumido que ha sido estancado, pero este tiempo de espera es bastante largo (60 segundos por defecto). Usando una conexión UDP en una interfaz rápida pueden acumularse fácilmente gigabytes de datos en ese tiempo. (CVE-2021-28715) El tiempo de espera podría incluso no dispararse nunca si el huésped consigue tener sólo una ranura libre en su página de anillo de cola RX y el siguiente paquete requeriría más de una ranura libre, lo que puede ser el caso cuando se usa OSG, XDP o hashing de software. (CVE-2021-28714)
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2025
Suscribirse a Vulnerabilidades