Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los parámetros orderby y order en el plugin MainWP Child de WordPress (CVE-2021-24877)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin MainWP Child de WordPress versiones anteriores a 4.1.8, no comprueba los parámetros orderby y order antes de usarlos en una sentencia SQL, conllevando a una inyección SQL explotable por usuarios con altos privilegios como el administrador cuando es instalado el plugin Backup and Staging by WP Time Capsule
Gravedad CVSS v3.1: ALTA
Última modificación:
26/11/2021

Vulnerabilidad en los campos "Title" de la diapositiva, "Description" y "Title" de la galería en el plugin Slideshow Gallery de WordPress (CVE-2021-24882)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Slideshow Gallery de WordPress versiones anteriores a 1.7.4, no sanea ni escapa de los campos "Title" de la diapositiva, "Description" y "Title" de la galería, que podría permitir a usuarios con privilegios elevados llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando el unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/11/2021

Vulnerabilidad en el envío de una petición en iDRAC9 (CVE-2021-36300)
Fecha de publicación:
23/11/2021
Idioma:
Español
versiones anteriores a la 5.00.00.00, contienen una vulnerabilidad de comprobación de entrada inapropiada. Un atacante remoto no autenticado puede explotar esta vulnerabilidad mediante el envío de una petición maliciosa especialmente diseñada para bloquear el servidor web o causar la divulgación de información
Gravedad CVSS v3.1: ALTA
Última modificación:
26/11/2021

Vulnerabilidad en Dell iDRAC9 (CVE-2021-36299)
Fecha de publicación:
23/11/2021
Idioma:
Español
Dell iDRAC9 versiones 4.40.00.00 y posteriores, pero anteriores a 4.40.29.00 y 5.00.00.00, contienen una vulnerabilidad de inyección SQL. Un usuario malicioso autenticado y con pocos privilegios puede explotar potencialmente esta vulnerabilidad para causar la divulgación de información o una denegación de servicio mediante el suministro de datos de entrada especialmente diseñados a la aplicación afectada
Gravedad CVSS v3.1: ALTA
Última modificación:
27/11/2021

Vulnerabilidad en la configuración de Nombre de Fuente en el plugin ImageBoss de WordPress (CVE-2021-24888)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin ImageBoss de WordPress versiones anteriores a 3.0.6, no sanea ni escapa de su configuración de Nombre de Fuente, que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/11/2021

Vulnerabilidad en la función edit de Advanced Forms (Free & Pro) (CVE-2021-24892)
Fecha de publicación:
23/11/2021
Idioma:
Español
Una Referencia Directa a Objetos no Segura en la función edit de Advanced Forms (Free & Pro) versiones anteriores a 1.6.9, permite a un atacante remoto autenticado cambiar la dirección de correo electrónico de un usuario arbitrario y solicitar el restablecimiento de la contraseña, que podría conllevar a una toma de control de la cuenta de administrador de WordPress. Para explotar esta vulnerabilidad, un atacante debe registrarse para obtener un usuario válido de WordPress y usar dicho usuario para autenticarse con WordPress con el fin de explotar la función edit vulnerable
Gravedad CVSS v3.1: ALTA
Última modificación:
29/11/2021

Vulnerabilidad en la sección de notificaciones en Django-wiki (CVE-2021-25986)
Fecha de publicación:
23/11/2021
Idioma:
Español
En Django-wiki, versiones 0.0.20 a 0.7.8, son vulnerables a un ataque de tipo Cross-Site Scripting (XSS) Almacenado en la sección de notificaciones. Un atacante que tenga acceso a las páginas de edición puede inyectar una carga útil de JavaScript en el campo title. Cuando una víctima recibe una notificación sobre los cambios realizados en la aplicación, la carga útil en el panel de notificaciones se renderiza y carga JavaScript externo
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/11/2021

Vulnerabilidad en los parámetros de petición profileNodeID en McAfee Policy Auditor (CVE-2021-31851)
Fecha de publicación:
23/11/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting Reflejado en McAfee Policy Auditor versiones anteriores a 6.5.2, permite a un atacante remoto no autenticado inyectar secuencias de comandos web o HTML arbitrarias por medio de los parámetros de petición profileNodeID. El script malicioso es reflejado sin modificaciones en la interfaz basada en la web de Policy Auditor, que podría conllevar a una extracción de tokens de sesión o credenciales de inicio de sesión del usuario final. Estas pueden ser usadas para acceder a otras aplicaciones críticas para la seguridad o realizar peticiones arbitrarias entre dominios
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el plugin MAZ Loader de WordPress (CVE-2021-24668)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin MAZ Loader de WordPress versiones anteriores a 1.4.1 no aplica comprobaciones de nonce, que permite a atacantes hacer que los administradores eliminen cargadores arbitrarios por medio de un ataque de tipo CSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2022

Vulnerabilidad en algunas acciones administrativas en el plugin Images to WebP de WordPress (CVE-2021-24641)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Images to WebP de WordPress versiones anteriores a 1.9, no tiene comprobaciones de tipo CSRF cuando lleva a cabo algunas acciones administrativas, que podría resultar en una modificación de la configuración del plugin, a la denegación de servicio, así como a la conversión arbitraria de imágenes
Gravedad CVSS v3.1: ALTA
Última modificación:
24/11/2021

Vulnerabilidad en el parámetro tab en el plugin Images to WebP de WordPress (CVE-2021-24644)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Images to WebP de WordPress versiones anteriores a 1.9, no comprueba ni sanea el parámetro tab antes de pasarlo a la función include(), que podría conllevar a un problema de Inclusión de Archivos Locales
Gravedad CVSS v3.1: ALTA
Última modificación:
24/11/2021

Vulnerabilidad en la etiqueta del campo email en el plugin Forminator de WordPress (CVE-2021-24700)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Forminator de WordPress versiones anteriores a 1.15.4, no sanea y escapa de la etiqueta del campo email, que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando el unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/11/2021
Suscribirse a Vulnerabilidades