Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Dell iDRAC9 (CVE-2021-36299)
Fecha de publicación:
23/11/2021
Idioma:
Español
Dell iDRAC9 versiones 4.40.00.00 y posteriores, pero anteriores a 4.40.29.00 y 5.00.00.00, contienen una vulnerabilidad de inyección SQL. Un usuario malicioso autenticado y con pocos privilegios puede explotar potencialmente esta vulnerabilidad para causar la divulgación de información o una denegación de servicio mediante el suministro de datos de entrada especialmente diseñados a la aplicación afectada
Gravedad CVSS v3.1: ALTA
Última modificación:
27/11/2021

Vulnerabilidad en la configuración de Nombre de Fuente en el plugin ImageBoss de WordPress (CVE-2021-24888)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin ImageBoss de WordPress versiones anteriores a 3.0.6, no sanea ni escapa de su configuración de Nombre de Fuente, que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/11/2021

Vulnerabilidad en la función edit de Advanced Forms (Free & Pro) (CVE-2021-24892)
Fecha de publicación:
23/11/2021
Idioma:
Español
Una Referencia Directa a Objetos no Segura en la función edit de Advanced Forms (Free & Pro) versiones anteriores a 1.6.9, permite a un atacante remoto autenticado cambiar la dirección de correo electrónico de un usuario arbitrario y solicitar el restablecimiento de la contraseña, que podría conllevar a una toma de control de la cuenta de administrador de WordPress. Para explotar esta vulnerabilidad, un atacante debe registrarse para obtener un usuario válido de WordPress y usar dicho usuario para autenticarse con WordPress con el fin de explotar la función edit vulnerable
Gravedad CVSS v3.1: ALTA
Última modificación:
29/11/2021

Vulnerabilidad en la sección de notificaciones en Django-wiki (CVE-2021-25986)
Fecha de publicación:
23/11/2021
Idioma:
Español
En Django-wiki, versiones 0.0.20 a 0.7.8, son vulnerables a un ataque de tipo Cross-Site Scripting (XSS) Almacenado en la sección de notificaciones. Un atacante que tenga acceso a las páginas de edición puede inyectar una carga útil de JavaScript en el campo title. Cuando una víctima recibe una notificación sobre los cambios realizados en la aplicación, la carga útil en el panel de notificaciones se renderiza y carga JavaScript externo
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/11/2021

Vulnerabilidad en los parámetros de petición profileNodeID en McAfee Policy Auditor (CVE-2021-31851)
Fecha de publicación:
23/11/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross-Site Scripting Reflejado en McAfee Policy Auditor versiones anteriores a 6.5.2, permite a un atacante remoto no autenticado inyectar secuencias de comandos web o HTML arbitrarias por medio de los parámetros de petición profileNodeID. El script malicioso es reflejado sin modificaciones en la interfaz basada en la web de Policy Auditor, que podría conllevar a una extracción de tokens de sesión o credenciales de inicio de sesión del usuario final. Estas pueden ser usadas para acceder a otras aplicaciones críticas para la seguridad o realizar peticiones arbitrarias entre dominios
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el plugin MAZ Loader de WordPress (CVE-2021-24668)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin MAZ Loader de WordPress versiones anteriores a 1.4.1 no aplica comprobaciones de nonce, que permite a atacantes hacer que los administradores eliminen cargadores arbitrarios por medio de un ataque de tipo CSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2022

Vulnerabilidad en algunas acciones administrativas en el plugin Images to WebP de WordPress (CVE-2021-24641)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Images to WebP de WordPress versiones anteriores a 1.9, no tiene comprobaciones de tipo CSRF cuando lleva a cabo algunas acciones administrativas, que podría resultar en una modificación de la configuración del plugin, a la denegación de servicio, así como a la conversión arbitraria de imágenes
Gravedad CVSS v3.1: ALTA
Última modificación:
24/11/2021

Vulnerabilidad en el parámetro tab en el plugin Images to WebP de WordPress (CVE-2021-24644)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Images to WebP de WordPress versiones anteriores a 1.9, no comprueba ni sanea el parámetro tab antes de pasarlo a la función include(), que podría conllevar a un problema de Inclusión de Archivos Locales
Gravedad CVSS v3.1: ALTA
Última modificación:
24/11/2021

Vulnerabilidad en la etiqueta del campo email en el plugin Forminator de WordPress (CVE-2021-24700)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Forminator de WordPress versiones anteriores a 1.15.4, no sanea y escapa de la etiqueta del campo email, que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando el unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/11/2021

Vulnerabilidad en algunos campos imported link en el plugin BetterLinks de WordPress (CVE-2021-24812)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin BetterLinks de WordPress versiones anteriores a 1.2.6, no sanea ni escapa de algunos campos imported link, que podría conllevar problemas de tipo Cross-Site Scripting almacenado cuando un administrador importa un CSV malicioso
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/11/2021

Vulnerabilidad en los archivos de registro en Dell PowerScale OneFS (CVE-2021-21561)
Fecha de publicación:
23/11/2021
Idioma:
Español
Dell PowerScale OneFS versión 8.1.2, contiene una vulnerabilidad de exposición de información confidencial. Esto permitiría a un usuario malicioso con privilegios ISI_PRIV_LOGIN_SSH y/o ISI_PRIV_LOGIN_CONSOLE conseguir acceso a información confidencial en los archivos de registro
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/11/2021

Vulnerabilidad en la configuración de la cuadrícula en el plugin Logo Showcase with Slick Slider de WordPress (CVE-2021-24729)
Fecha de publicación:
23/11/2021
Idioma:
Español
El plugin Logo Showcase with Slick Slider de WordPress versiones anteriores a 1.2.4, no sanea la configuración de la cuadrícula, que podría permitir a usuarios con un rol tan bajo como el de autor llevar a cabo ataques de tipo Cross-Site Scripting almacenados por medio de los metadatos de la cuadrícula de logotipos
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/12/2021
Suscribirse a Vulnerabilidades