Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función fix en allenhwkim proctree (CVE-2021-34082)
Fecha de publicación:
02/06/2022
Idioma:
Español
Una vulnerabilidad de inyección de comandos del Sistema Operativo en allenhwkim proctree versiones hasta 0.1.1 y el commit 0ac10ae575459457838f14e21d5996f2fa5c7593 para Node.js, permite a atacantes ejecutar comandos arbitrarios por medio de la función fix
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/06/2022

Vulnerabilidad en un nombre de etiqueta diseñado en el repositorio git de destino en bbultman gitsome (CVE-2021-34081)
Fecha de publicación:
02/06/2022
Idioma:
Español
Una vulnerabilidad de inyección de comandos del Sistema Operativo en bbultman gitsome versiones hasta 0.2.3, permite a atacantes ejecutar comandos arbitrarios por medio de un nombre de etiqueta diseñado en el repositorio git de destino
Gravedad CVSS v3.1: ALTA
Última modificación:
09/06/2022

Vulnerabilidad en metacaracteres de shell a las funciones createCertRequest() y createCert() en es128 ssl-utils para Node.js (CVE-2021-34080)
Fecha de publicación:
02/06/2022
Idioma:
Español
Una vulnerabilidad de inyección de comandos del Sistema Operativo en es128 ssl-utils versión 1.0.0 para Node.js, permite a atacantes ejecutar comandos arbitrarios por medio de meta caracteres de shell no saneados proporcionados a las funciones createCertRequest() y createCert()
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/06/2022

Vulnerabilidad en metacaracteres de shell en la entrada "ports" de un archivo docker-compose.yml en Mintzo Docker-Tester (CVE-2021-34079)
Fecha de publicación:
02/06/2022
Idioma:
Español
Una vulnerabilidad de inyección de comandos del Sistema Operativo en Mintzo Docker-Tester versiones hasta 1.2.1, permite a atacantes ejecutar comandos arbitrarios por medio de meta caracteres de shell en la entrada "ports" de un archivo docker-compose.yml diseñado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/06/2022

Vulnerabilidad en la opción "Open in browser" en Google-it (CVE-2021-34083)
Fecha de publicación:
02/06/2022
Idioma:
Español
Google-it es un paquete Node.js que permite a sus usuarios enviar consultas de búsqueda a Google y recibir los resultados en formato JSON. Cuando es usada la opción "Open in browser" en las versiones hasta la 1.6.2, google-it con catará de forma insegura el enlace del resultado recuperado de google con un comando de shell, exponiendo potencialmente el servidor a RCE
Gravedad CVSS v3.1: ALTA
Última modificación:
09/06/2022

Vulnerabilidad en los valores de entrada en algunos parámetros y variables de los archivos en Maxboard (CVE-2021-26634)
Fecha de publicación:
02/06/2022
Idioma:
Español
Unos ataques de inyección SQL y de carga de archivos son posibles debido a la insuficiente comprobación de los valores de entrada en algunos parámetros y variables de los archivos que comprometen a Maxboard, lo que puede conllevar a una ejecución de código arbitrario o la escalada de privilegios. Los atacantes pueden usar estas vulnerabilidades para llevar a cabo ataques como el robo de derechos de administración del servidor usando un shell web
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/06/2023

Vulnerabilidad en el código que verifica el tamaño del archivo en la biblioteca ark (CVE-2021-26635)
Fecha de publicación:
02/06/2022
Idioma:
Español
En el código que verifica el tamaño del archivo en la biblioteca ark, es posible manipular el desplazamiento leído del archivo de destino debido al uso incorrecto del tipo de datos. Un atacante podría usar esta vulnerabilidad para causar un desbordamiento del buffer de la pila y, como resultado, llevar a cabo un ataque como una ejecución de código remota
Gravedad CVSS v3.1: ALTA
Última modificación:
26/06/2023

Vulnerabilidad en Couchbase Server (CVE-2021-33504)
Fecha de publicación:
02/06/2022
Idioma:
Español
Couchbase Server versiones anteriores a 7.1.0, presenta un Control de Acceso Incorrecto
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en /admin.php?p=/User/index en PbootCMS (CVE-2020-20971)
Fecha de publicación:
02/06/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en PbootCMS versión v2.0.3, por medio de /admin.php?p=/User/index
Gravedad CVSS v3.1: ALTA
Última modificación:
10/06/2022

Vulnerabilidad en el parámetro id en el archivo /admin/dl_sendsms.php en zzcms (CVE-2019-12349)
Fecha de publicación:
02/06/2022
Idioma:
Español
Se ha detectado un problema en zzcms versión 2019. Se presenta una inyección SQL en el archivo /admin/dl_sendsms.php por medio del parámetro id
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/06/2022

Vulnerabilidad en un valor de parámetro id con una coma al final en el archivo dl/dl_download.php en zzcms (CVE-2019-12350)
Fecha de publicación:
02/06/2022
Idioma:
Español
Se ha detectado un problema en zzcms versión 2019. Se presenta una inyección SQL en el archivo dl/dl_download.php por medio de un valor de parámetro id con una coma al final
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/06/2022

Vulnerabilidad en un valor de parámetro id con una coma al final en el archivo dl/dl_print.php en zzcms (CVE-2019-12351)
Fecha de publicación:
02/06/2022
Idioma:
Español
Se ha detectado un problema en zzcms versión 2019. Se presenta una inyección SQL en el archivo dl/dl_print.php por medio de un valor de parámetro id con una coma al final
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/06/2022
Suscribirse a Vulnerabilidades