Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los metadatos en los activos en Pimcore (CVE-2021-39170)
Fecha de publicación:
01/09/2021
Idioma:
Español
Pimcore es una plataforma de administración de datos y experiencias de código abierto. En versiones anteriores a 10.1.2, un usuario autenticado podía añadir código de tipo XSS como valor de los metadatos personalizados en los activos. Se presenta un parche para este problema en Pimcore versión 10.1.2. Como solución, los usuarios pueden aplicar el parche manualmente
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/09/2021

Vulnerabilidad en los valores de texto en Pimcore (CVE-2021-39166)
Fecha de publicación:
01/09/2021
Idioma:
Español
Pimcore es una plataforma de administración de datos y experiencias de código abierto. En versiones anteriores a 10.1.2, los valores de texto no se escapaban apropiadamente versiones anteriores a imprimirse en la visualización previa de la versión. Esto permitía el uso de un ataque de tipo XSS por parte de usuarios autenticados con acceso a los recursos. Este problema se ha parcheado en Pimcore versión 10.1.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/09/2021

Vulnerabilidad en una cuenta de usuario en NMSAccess32.exe en TeraRecon AQNetClient (CVE-2021-35508)
Fecha de publicación:
01/09/2021
Idioma:
Español
NMSAccess32.exe en TeraRecon AQNetClient versión 4.4.13, permite a atacantes ejecutar un binario malicioso con privilegios SYSTEM por medio de una cuenta de usuario con pocos privilegios. Para explotar esto, un usuario con pocos privilegios debe cambiar la configuración del servicio o sobrescribir el servicio binario.<br /> NMSAccess32.exe en TeraRecon AQNetClient versión 4.4.13, permite a atacantes ejecutar un binario malicioso con privilegios SYSTEM por medio de una cuenta de usuario con pocos privilegios. Para explotar esto, un usuario con pocos privilegios debe cambiar la configuración del servicio o sobrescribir el servicio binario
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en pnotes_print.php?noteid= en OpenEMR (CVE-2021-40352)
Fecha de publicación:
01/09/2021
Idioma:
Español
OpenEMR versión 6.0.0, presenta una vulnerabilidad de Referencia Directa a Objetos Inseguros en pnotes_print.php?noteid= por medio de la cual un atacante puede leer los mensajes de todos los usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/05/2022

Vulnerabilidad en el archivo NamesList.php en el parámetro str en openSIS (CVE-2021-39378)
Fecha de publicación:
01/09/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en openSIS versión 8.0, cuando es usado MySQL (MariaDB) como base de datos de la aplicación. Un atacante malicioso puede emitir comandos SQL a la base de datos MySQL (MariaDB) mediante el parámetro str del archivo NamesList.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/09/2021

Vulnerabilidad en el archivo ResetUserInfo.php en el parámetro password_stn_id en openSIS (CVE-2021-39379)
Fecha de publicación:
01/09/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en openSIS versión 8.0, cuando es usado MySQL (MariaDB) como base de datos de la aplicación. Un atacante malicioso puede emitir comandos SQL a la base de datos MySQL (MariaDB) mediante el parámetro password_stn_id del archivo ResetUserInfo.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/09/2021

Vulnerabilidad en el archivo index.php en el parámetro username en openSIS (CVE-2021-39377)
Fecha de publicación:
01/09/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en openSIS versión 8.0, cuando es usado MySQL (MariaDB) como base de datos de la aplicación. Un atacante malicioso puede emitir comandos SQL a la base de datos MySQL (MariaDB) mediante el parámetro username del archivo index.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
09/09/2021

Vulnerabilidad en la longitud de la respuesta de la API en CyberArk Identity (CVE-2021-37151)
Fecha de publicación:
01/09/2021
Idioma:
Español
CyberArk Identity versión 21.5.131, cuando maneja un intento de autenticación no válido, a veces revela si el nombre de usuario es válido. En determinadas configuraciones de políticas de autenticación con MFA, la longitud de la respuesta de la API puede ser usada para diferenciar entre un usuario válido y uno no válido (también se conoce como Enumeración de Nombres de Usuario). La diferenciación de la respuesta permite a atacantes enumerar los nombres de usuario de los usuarios válidos de la aplicación. Los atacantes pueden usar esta información para aprovechar los ataques de fuerza bruta y de diccionario con el fin de detectar información válida de la cuenta, como las contraseñas
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Samsung Drive Manager en dispositivos Samsung H3 (CVE-2021-39373)
Fecha de publicación:
01/09/2021
Idioma:
Español
Samsung Drive Manager versión 2.0.104, en dispositivos Samsung H3 permite a atacantes omitir los controles de acceso previstos en la administración de discos. WideCharToMultiByte, WideCharStr y MultiByteStr pueden contribuir a la exposición de contraseñas
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el parámetro URL POST en el sitio web CreateExternalWebsite en la plataforma Orion (CVE-2021-35238)
Fecha de publicación:
01/09/2021
Idioma:
Español
Un usuario con derechos de Administrador de la Plataforma Orion podría almacenar una vulnerabilidad de tipo XSS mediante el parámetro URL POST en el sitio web CreateExternalWebsite
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/09/2021

Vulnerabilidad en la entrada del usuario en el formulario de configuración del syslog en unos dispositivos inalámbricos de Arcadyan (CVE-2021-38703)
Fecha de publicación:
01/09/2021
Idioma:
Español
Unos dispositivos inalámbricos que ejecutan determinados firmware derivados de Arcadyan (como KPN Experia WiFi versión 1.00.15) no sanean correctamente la entrada del usuario en el formulario de configuración del syslog. Un atacante remoto autenticado podría aprovechar esto para alterar la configuración del dispositivo y lograr una ejecución de código remota. Esto puede ser explotado en conjunto con CVE-2021-20090
Gravedad CVSS v3.1: ALTA
Última modificación:
08/08/2023

Vulnerabilidad en iPortalis iCS (CVE-2020-9000)
Fecha de publicación:
01/09/2021
Idioma:
Español
Se ha detectado un problema en iPortalis iCS versión 7.1.13.0. Unos atacantes pueden enviar una secuencia de peticiones para causar rápidamente errores de comprobación de entrada de .NET. Esto aumenta el tamaño del archivo de registro en el servidor remoto hasta que es agotada la memoria, consumiendo así la máxima cantidad de recursos (desencadenando una condición de denegación de servicio)
Gravedad CVSS v3.1: ALTA
Última modificación:
09/09/2021
Suscribirse a Vulnerabilidades