Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Go-Ethereum (CVE-2021-43668)
Fecha de publicación:
18/11/2021
Idioma:
Español
Los nodos de Go-Ethereum 1.10.9 son bloqueados (denegación de servicio) después de recibir una serie de mensajes y no pueden recuperarse. Serán bloqueados con "runtime error: invalid memory address or nil pointer dereference" y surgirá una señal SEGV.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/11/2021

Vulnerabilidad en HyperLedger Fabric (CVE-2021-43669)
Fecha de publicación:
18/11/2021
Idioma:
Español
Se ha detectado una vulnerabilidad en HyperLedger Fabric versiones v1.4.0, v2.0.0, v2.0.1, v2.3.0. Puede romper fácilmente tantos ordenadores como el atacante quiera. Este bug puede ser aprovechado al construir un mensaje cuyo encabezado no sea válida para la interfaz Orden. Este bug ha sido admitido y corregido por los desarrolladores de Fabric.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/11/2021

Vulnerabilidad en datos de respuesta HTTP en hosts internos en el conector JIRA de Kibana y el conector Resilient de IBM (CVE-2021-37939)
Fecha de publicación:
18/11/2021
Idioma:
Español
Se ha detectado que el conector JIRA de Kibana y el conector Resilient de IBM pueden ser usados para devolver datos de respuesta HTTP en hosts internos, que pueden estar intencionadamente ocultos a la vista del público. Usando esta vulnerabilidad, un usuario malicioso con la capacidad de crear conectores, podría usar estos conectores para ver datos de respuesta HTTP limitados en hosts accesibles al cluster.
Gravedad CVSS v3.1: BAJA
Última modificación:
23/11/2021

Vulnerabilidad en Kibana en los sistemas operativos Windows (CVE-2021-37938)
Fecha de publicación:
18/11/2021
Idioma:
Español
Se ha detectado que en los sistemas operativos Windows específicamente, Kibana no estaba comprendiendo una ruta suministrada por el usuario, que cargaría archivos .pbf. Debido a esto, un usuario malicioso podría atravesar arbitrariamente el host de Kibana para cargar archivos internos que terminaran en la extensión .pbf. Gracias a Dominic Couture por encontrar esta vulnerabilidad.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/11/2021

Vulnerabilidad en Hitachi Energy Relion Relion 670/650/SAM600-IO series (CVE-2021-35535)
Fecha de publicación:
18/11/2021
Idioma:
Español
Una vulnerabilidad Insecure Boot Image en Hitachi Energy Relion Relion 670/650/SAM600-IO series permite que un atacante que consiga acceder al puerto de red frontal y causar una secuencia de reinicio del dispositivo pueda explotar la vulnerabilidad, donde se presenta un pequeño espacio de tiempo durante el proceso de arranque en el que se carga una versión antigua de VxWorks antes del arranque del firmware de la aplicación, podría explotar la vulnerabilidad de la versión antigua de VxWorks y causar una denegación de servicio en el producto. Este problema afecta a: Hitachi Energy Relion 670 Series versiones 2.2.2 todas las revisiones; versiones 2.2.3 versiones anteriores a 2.2.3.3. Hitachi Energy Relion 670/650 Series versiones 2.2.0 todas las revisiones; versiones 2.2.4 todas las revisiones. Hitachi Energy Relion 670/650/SAM600-IO versiones 2.2.1 todas las revisiones.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/04/2023

Vulnerabilidad en un endpoint de la API web de PI (CVE-2021-43549)
Fecha de publicación:
18/11/2021
Idioma:
Español
Un atacante remoto autenticado con acceso de escritura a un servidor PI podría engañar a un usuario para que interactuara con un endpoint de la API web de PI y lo redirigiera a un sitio web malicioso. Como resultado, una víctima podría revelar información confidencial al atacante o recibir información falsa.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/11/2021

Vulnerabilidad en Puppet Agent (CVE-2021-27025)
Fecha de publicación:
18/11/2021
Idioma:
Español
Se ha detectado un fallo en Puppet Agent donde el agente puede ignorar silenciosamente la configuración de Augeas o puede ser vulnerable a una condición de denegación de servicio antes del primer "pluginsync".
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en Puppet Enterprise y otros productos Puppet (CVE-2021-27026)
Fecha de publicación:
18/11/2021
Idioma:
Español
Se ha detectado un fallo en Puppet Enterprise y otros productos Puppet en el que es posible registrar parámetros confidenciales del plan.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/01/2022

Vulnerabilidad en Puppet Agent y Puppet Server (CVE-2021-27023)
Fecha de publicación:
18/11/2021
Idioma:
Español
Se ha detectado un fallo en Puppet Agent y Puppet Server que puede resultar en un filtrado de credenciales HTTP cuando se siguen redirecciones HTTP a un host diferente. Esto es similar a CVE-2018-1000007
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Browser app (CVE-2021-0672)
Fecha de publicación:
18/11/2021
Idioma:
Español
En la aplicación Browser, existe una posible divulgación de información debido a la falta de comprobación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.Producto: AndroidVersiones: Android SoCAndroid ID: A-199678035
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en Continuous Delivery for Puppet Enterprise (CD4PE) (CVE-2021-27024)
Fecha de publicación:
18/11/2021
Idioma:
Español
Se ha detectado un fallo en Continuous Delivery for Puppet Enterprise (CD4PE) que resulta en un usuario con privilegios bajos ser capaz de acceder a un token de la API de Puppet Enterprise. Este problema se ha resuelto en CD4PE versión 4.10.0
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en apusys (CVE-2021-0671)
Fecha de publicación:
18/11/2021
Idioma:
Español
En apusys, se presenta una posible corrupción de memoria debido a una falta de comprobación de límites. Esto podría conllevar a una escalada de privilegios local con privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. ID del Parche: ALPS05664273; ID del Problema: ALPS05664273.
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/11/2021
Suscribirse a Vulnerabilidades