Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en al archivo login_tw.php en TranzWare (POI) FIMI (CVE-2021-28109)
Fecha de publicación:
19/03/2021
Idioma:
Español
TranzWare (POI) FIMI versiones anteriores a 4.2.20.4.2, permite al archivo login_tw.php un ataque de tipo Cross-Site Scripting (XSS) reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2021

Vulnerabilidad en el parámetro post_title en Ovation Dynamic Content para Elementor (CVE-2021-3327)
Fecha de publicación:
19/03/2021
Idioma:
Español
Ovation Dynamic Content versión 1.10.1 para Elementor, permite un ataque de tipo XSS por medio del parámetro post_title
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2021

Vulnerabilidad en las funciones wsrep_provider y wsrep_notify_cmd en MariaDB, Percona Server y el parche de wsrep para MySQL (CVE-2021-27928)
Fecha de publicación:
19/03/2021
Idioma:
Español
Se detectó un problema de ejecución de código remota en MariaDB versiones 10.2 anteriores a 10.2.37, versiones 10.3 anteriores a 10.3.28, versiones 10.4 anteriores a 10.4.18 y versiones 10.5 anteriores a 10.5.9; Percona Server versiones hasta el 03-03-2021; y el parche de wsrep versiones hasta el 03-03-2021 para MySQL. Una ruta de búsqueda que no es confiable conlleva a una inyección eval, en la que un usuario SUPER de la base de datos puede ejecutar comandos del Sistema Operativo después de modificar las funciones wsrep_provider y wsrep_notify_cmd. NOTA: esto no afecta a un producto de Oracle
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2022

Vulnerabilidad en el comando /export en ftp en archivos .rsc en MikroTik RouterOS (CVE-2021-27221)
Fecha de publicación:
19/03/2021
Idioma:
Español
** EN DISPUTA ** MikroTik RouterOS versión 6.47.9, permite a usuarios de ftp autenticados de forma remota crear o sobrescribir archivos .rsc arbitrarios por medio del comando /export. NOTA: la posición del proveedor es que este es un comportamiento previsto debido a cómo funcionan las políticas de usuario
Gravedad CVSS v3.1: ALTA
Última modificación:
03/08/2024

Vulnerabilidad en la función fix en el paquete eslint-fixer para Node.js (CVE-2021-26275)
Fecha de publicación:
19/03/2021
Idioma:
Español
** NO COMPATIBLE CUANDO SE ASIGNÓ ** El paquete eslint-fixer versiones hasta 0.1.5 para Node.js, permite una inyección de comandos por medio de metacaracteres shell para la función fix. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el mantenedor. El repositorio de GitHub ozum/eslint-fixer ha sido eliminado intencionadamente
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/08/2024

Vulnerabilidad en _Shescape_ en shescape (CVE-2021-21384)
Fecha de publicación:
19/03/2021
Idioma:
Español
shescape es un paquete de escape de shell simple para JavaScript. En shescape versiones anteriores a 1.1.3, cualquiera que use _Shescape_ para defenderse de la inyección de shell puede ser vulnerable frente a una inyección shell si el atacante logra insertar en la carga útil. Para visualizar un ejemplo, consulte el Aviso de Seguridad de GitHub al que se hace referencia. El problema ha sido solucionado en la versión 1.1.3. No son requeridos más cambios
Gravedad CVSS v3.1: ALTA
Última modificación:
22/04/2021

Vulnerabilidad en almacenamiento de claves en las aplicaciones iOS y macOS para Western Digital G-Technology ArmorLock NVMe SSD (CVE-2021-28653)
Fecha de publicación:
19/03/2021
Idioma:
Español
Las aplicaciones iOS y macOS versiones anteriores a 1.4.1 para Western Digital G-Technology ArmorLock NVMe SSD, almacenan claves de forma no segura. Eligen un mecanismo de almacenamiento no preferido si el dispositivo es compatible con Secure Enclave pero carece de hardware de autenticación biométrica
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/08/2021

Vulnerabilidad en las cookies y tokens de sesión del usuario en WebAccess/SCADA (CVE-2021-27436)
Fecha de publicación:
18/03/2021
Idioma:
Español
WebAccess/SCADA versiones 9.0 y anteriores, son vulnerables a un ataque de tipo cross-site scripting, lo que puede permitir a un atacante enviar código JavaScript malicioso a un usuario desprevenido, lo que podría resultar en el secuestro de las cookies y tokens de sesión del usuario, redireccionando al usuario a una página web maliciosa. y llevar a cabo acciones no deseadas del navegador
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2021

Vulnerabilidad en el diseño de consultas especiales en LDAP en Redash (CVE-2020-36144)
Fecha de publicación:
18/03/2021
Idioma:
Español
Redash versión 8.0.0 está afectado por LDAP Injection. Existe una fuga de información a través de la elaboración de consultas especiales, escapando de la plantilla proporcionada ya que el nombre de usuario incluido en el filtro de búsqueda carece de sanitización
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/03/2021

Vulnerabilidad en JetBrains PhpStorm (CVE-2021-25764)
Fecha de publicación:
18/03/2021
Idioma:
Español
En JetBrains PhpStorm versiones anteriores a 2020.3, el código fuente podía ser agregado a los registros de depuración
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2021

Vulnerabilidad en los archivos dcinventory.exe y dcconfig.exe en la biblioteca CSUNSAPI.dll en el agente MPS en Zoho ManageEngine Desktop Central MSP. (CVE-2020-9367)
Fecha de publicación:
18/03/2021
Idioma:
Español
El agente MPS en Zoho ManageEngine Desktop Central MSP build MSP build versión 10.0.486, es vulnerable a un secuestro de DLL: los archivos dcinventory.exe y dcconfig.exe intentan cargar la biblioteca CSUNSAPI.dll sin suministrar la ruta completa. El problema se agrava porque esta DLL falta en la instalación, lo que hace posible secuestrar la DLL y posteriormente inyectar código, conllevando a una escalada de privilegios a NT AUTHORITY\SYSTEM
Gravedad CVSS v3.1: ALTA
Última modificación:
25/03/2021

Vulnerabilidad en el modo loopback de una NIC en varios emuladores de NIC de QEMU (CVE-2021-3416)
Fecha de publicación:
18/03/2021
Idioma:
Español
Se encontró un posible desbordamiento de la pila por medio de un problema de bucle infinito en varios emuladores de NIC de QEMU en versiones hasta 5.2.0 incluyéndola. El problema ocurre en el modo loopback de una NIC en donde son omitidas las comprobaciones DMA reentrantes. Un usuario y proceso invitado puede usar este fallo para consumir ciclos de CPU o bloquear el proceso QEMU en el host, resultando en un escenario DoS
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/02/2023
Suscribirse a Vulnerabilidades