Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo itrk-api.php en la función rechtstext_language en el plugin IT-Recht Kanzlei en Zen Cart (CVE-2020-6577)
Fecha de publicación:
19/03/2021
Idioma:
Español
El plugin IT-Recht Kanzlei en Zen Cart versión 1.5.6c (edición Alemana), permite una inyección SQL del archivo itrk-api.php en la función rechtstext_language
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/03/2021

Vulnerabilidad en el archivo TiffDecode.c en Pillow (CVE-2021-25290)
Fecha de publicación:
19/03/2021
Idioma:
Español
Se detectó un problema en Pillow versiones anteriores a 8.1.1. En el archivo TiffDecode.c, se presenta una memoria de desplazamiento negativo con un tamaño no válido
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2021

Vulnerabilidad en el archivo SGIRleDecode.c en Pillow (CVE-2021-25293)
Fecha de publicación:
19/03/2021
Idioma:
Español
Se detectó un problema en Pillow versiones anteriores a 8.1.1. Se presenta una lectura fuera de límites en el archivo SGIRleDecode.c
Gravedad CVSS v3.1: ALTA
Última modificación:
01/12/2021

Vulnerabilidad en límites de mosaico en el archivo TiffDecode.c en la función TiffreadRGBATile en Pillow (CVE-2021-25291)
Fecha de publicación:
19/03/2021
Idioma:
Español
Se detectó un problema en Pillow versiones anteriores a 8.1.1. En el archivo TiffDecode.c, se presenta una lectura fuera de límites en la función TiffreadRGBATile por medio de límites de mosaico no válidos
Gravedad CVSS v3.1: ALTA
Última modificación:
01/12/2021

Vulnerabilidad en la función TiffDecode en la decodificación de archivos YCbCr en Pillow (CVE-2021-25289)
Fecha de publicación:
19/03/2021
Idioma:
Español
Se detectó un problema en Pillow versiones anteriores a 8.1.1. La función TiffDecode presenta un desbordamiento de búfer en la región heap de la memoria cuando se decodifican archivos YCbCr diseñados debido a determinados conflictos de interpretación con LibTIFF en el modo RGBA. NOTA: este problema se presenta debido a una corrección incompleta para CVE-2020-35654
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/12/2021

Vulnerabilidad en una regex de retroceso en un archivo PDF en Pillow (CVE-2021-25292)
Fecha de publicación:
19/03/2021
Idioma:
Español
Se detectó un problema en Pillow versiones anteriores a 8.1.1. El analizador de PDF permite un ataque DoS (ReDoS) de expresión regular por medio de un archivo PDF diseñado debido a una regex de retroceso catastrófica
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en al archivo login_tw.php en TranzWare (POI) FIMI (CVE-2021-28109)
Fecha de publicación:
19/03/2021
Idioma:
Español
TranzWare (POI) FIMI versiones anteriores a 4.2.20.4.2, permite al archivo login_tw.php un ataque de tipo Cross-Site Scripting (XSS) reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2021

Vulnerabilidad en el parámetro post_title en Ovation Dynamic Content para Elementor (CVE-2021-3327)
Fecha de publicación:
19/03/2021
Idioma:
Español
Ovation Dynamic Content versión 1.10.1 para Elementor, permite un ataque de tipo XSS por medio del parámetro post_title
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2021

Vulnerabilidad en las funciones wsrep_provider y wsrep_notify_cmd en MariaDB, Percona Server y el parche de wsrep para MySQL (CVE-2021-27928)
Fecha de publicación:
19/03/2021
Idioma:
Español
Se detectó un problema de ejecución de código remota en MariaDB versiones 10.2 anteriores a 10.2.37, versiones 10.3 anteriores a 10.3.28, versiones 10.4 anteriores a 10.4.18 y versiones 10.5 anteriores a 10.5.9; Percona Server versiones hasta el 03-03-2021; y el parche de wsrep versiones hasta el 03-03-2021 para MySQL. Una ruta de búsqueda que no es confiable conlleva a una inyección eval, en la que un usuario SUPER de la base de datos puede ejecutar comandos del Sistema Operativo después de modificar las funciones wsrep_provider y wsrep_notify_cmd. NOTA: esto no afecta a un producto de Oracle
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2022

Vulnerabilidad en el comando /export en ftp en archivos .rsc en MikroTik RouterOS (CVE-2021-27221)
Fecha de publicación:
19/03/2021
Idioma:
Español
** EN DISPUTA ** MikroTik RouterOS versión 6.47.9, permite a usuarios de ftp autenticados de forma remota crear o sobrescribir archivos .rsc arbitrarios por medio del comando /export. NOTA: la posición del proveedor es que este es un comportamiento previsto debido a cómo funcionan las políticas de usuario
Gravedad CVSS v3.1: ALTA
Última modificación:
03/08/2024

Vulnerabilidad en la función fix en el paquete eslint-fixer para Node.js (CVE-2021-26275)
Fecha de publicación:
19/03/2021
Idioma:
Español
** NO COMPATIBLE CUANDO SE ASIGNÓ ** El paquete eslint-fixer versiones hasta 0.1.5 para Node.js, permite una inyección de comandos por medio de metacaracteres shell para la función fix. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el mantenedor. El repositorio de GitHub ozum/eslint-fixer ha sido eliminado intencionadamente
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/08/2024

Vulnerabilidad en _Shescape_ en shescape (CVE-2021-21384)
Fecha de publicación:
19/03/2021
Idioma:
Español
shescape es un paquete de escape de shell simple para JavaScript. En shescape versiones anteriores a 1.1.3, cualquiera que use _Shescape_ para defenderse de la inyección de shell puede ser vulnerable frente a una inyección shell si el atacante logra insertar en la carga útil. Para visualizar un ejemplo, consulte el Aviso de Seguridad de GitHub al que se hace referencia. El problema ha sido solucionado en la versión 1.1.3. No son requeridos más cambios
Gravedad CVSS v3.1: ALTA
Última modificación:
22/04/2021
Suscribirse a Vulnerabilidades