Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el plugin URL Shortify de WordPress (CVE-2021-24749)
Fecha de publicación:
29/11/2021
Idioma:
Español
El plugin URL Shortify de WordPress versiones anteriores a 1.5.1, no presenta una comprobación de CSRF cuando se eliminan enlaces o grupos de forma masiva, lo que podría permitir a atacantes hacer que un administrador conectado elimine enlaces y grupos arbitrarios por medio de un ataque de tipo CSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/01/2026

Vulnerabilidad en el archivo sdpd-request.c en la función service_attr_req en bluetoothd en BlueZ (CVE-2019-8921)
Fecha de publicación:
29/11/2021
Idioma:
Español
Se ha detectado un problema en bluetoothd en BlueZ versiones hasta 5.48. La vulnerabilidad reside en el manejo de un SVC_ATTR_REQ por parte de la implementación del SDP. Si se diseña un CSTATE malicioso, es posible engañar al servidor para que devuelva más bytes de los que realmente contiene el búfer, lo que da lugar a una fuga de datos arbitraria del montón. La causa principal se encuentra en la función service_attr_req del archivo sdpd-request.c. El servidor no comprueba si los datos CSTATE son los mismos en peticiones consecutivas, y en su lugar simplemente confía en que son los mismos
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2022

Vulnerabilidad en bluetoothd en BlueZ (CVE-2019-8922)
Fecha de publicación:
29/11/2021
Idioma:
Español
Se ha detectado un desbordamiento del búfer en la región heap de la memoria en bluetoothd en BlueZ versiones hasta 5.48. No presenta ninguna comprobación sobre si presenta suficiente espacio en el buffer de destino. La función simplemente añade todos los datos que son pasados. Los valores de todos los atributos solicitados son añadidos al búfer de salida. No se presenta ningún tipo de comprobación de tamaño, resultando en un simple desbordamiento de la pila si es posible diseñar una petición en la que la respuesta sea lo suficientemente grande como para desbordar el búfer preasignado. Este problema se presenta cuando service_attr_req es llamado por process_request (en el archivo sdpd-request.c), que también asigna el buffer de respuesta
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2022

Vulnerabilidad en un URI /log en Wipro Holmes Orchestrator (CVE-2021-38283)
Fecha de publicación:
29/11/2021
Idioma:
Español
Wipro Holmes Orchestrator versión 20.4.1 (20.4.1_02_11_2020) permite a atacantes remotos leer archivos de registro de aplicaciones que contienen información confidencial por medio de un URI /log predecible
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en Wipro Holmes Orchestrator (CVE-2021-38147)
Fecha de publicación:
29/11/2021
Idioma:
Español
Wipro Holmes Orchestrator versión 20.4.1 (20.4. 1_02_11_2020) permite a atacantes remotos descargar archivos arbitrarios, como informes que contienen información confidencial, porque no es requerida la autenticación para el acceso de la API a processexecution/DownloadExcelFile/Domain_Credential_Report_Excel, processexecution/DownloadExcelFile/User_Report_Excel, processexecution/DownloadExcelFile/Process_Report_Excel, processexecution/DownloadExcelFile/Infrastructure_Report_Excel, o processexecution/DownloadExcelFile/Resolver_Report_Excel
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2021

Vulnerabilidad en determinadas funciones de análisis de XML en PHP (CVE-2021-21707)
Fecha de publicación:
29/11/2021
Idioma:
Español
En PHP versiones 7.3.x anteriores a 7.3.33, 7.4.x anteriores a 7.4.26 y 8.0.x anteriores a 8.0.13, determinadas funciones de análisis de XML, como simplexml_load_file(), decodifican el nombre de archivo que les es pasado. Si ese nombre de archivo contiene un carácter NUL codificado en la URL, esto puede causar que la función lo interprete como el final del nombre de archivo, interpretando así el nombre de archivo de forma diferente a la que el usuario pretendía, lo que puede conllevar a una lectura de un archivo diferente al deseado
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/02/2023

Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus (CVE-2021-44077)
Fecha de publicación:
29/11/2021
Idioma:
Español
Zoho ManageEngine ServiceDesk Plus versiones anteriores a 11306, ServiceDesk Plus MSP versiones anteriores a 10530, y SupportCenter Plus versiones anteriores a 11014, son vulnerables a una ejecución de código remota no autenticada. Esto está relacionado con las URLs /RestAPI en un servlet, y con ImportTechnicians en la configuración de Struts
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
31/10/2025

Vulnerabilidad en un bucket en S3Scanner (CVE-2021-32061)
Fecha de publicación:
29/11/2021
Idioma:
Español
S3Scanner versiones anteriores a 2.0.2, permite un Salto de Directorio por medio de un bucket diseñado, como es demostrado por una subcadena (Key)../ en un elemento ListBucketResult
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/11/2021

Vulnerabilidad en la función upload avatar en zrlog (CVE-2021-44093)
Fecha de publicación:
28/11/2021
Idioma:
Español
Una vulnerabilidad de ejecución remota de comandos en el fondo en zrlog versión 2.2.2, en la función upload avatar, podría omitir el límite original, subir el archivo JSP para conseguir una WebShell
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/11/2021

Vulnerabilidad en la función plugin download en ZrLog (CVE-2021-44094)
Fecha de publicación:
28/11/2021
Idioma:
Español
ZrLog versión 2.2.2 presenta una vulnerabilidad de ejecución de comandos remota en la función plugin download, podría ejecutar cualquier archivo JAR
Gravedad CVSS v3.1: ALTA
Última modificación:
29/11/2021

Vulnerabilidad en janus-gateway (CVE-2021-4020)
Fecha de publicación:
27/11/2021
Idioma:
Español
janus-gateway es vulnerable a una Neutralización Inapropiada de Entradas Durante la Generación de Páginas Web ("Cross-site Scripting")
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/11/2021

Vulnerabilidad en los archivos CSV en el paquete html-to-csv (CVE-2021-23654)
Fecha de publicación:
26/11/2021
Idioma:
Español
Esto afecta a todas las versiones del paquete html-to-csv. Cuando se presenta una fórmula insertada en una página HTML, se acepta sin ninguna comprobación y la misma se empuja mientras es convertida en un archivo CSV. A través de esto un actor malicioso puede insertar o generar un enlace malicioso o ejecutar comandos por medio de archivos CSV
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/12/2021
Suscribirse a Vulnerabilidades