Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo login.php en Pluck-CMS Pluck (CVE-2021-31745)
Fecha de publicación:
10/12/2021
Idioma:
Español
Una vulnerabilidad de Fijación de Sesión en el archivo login.php en Pluck-CMS Pluck versión 4.7.15, permite a un atacante mantener el acceso no autorizado a la plataforma. Debido a que Pluck no invalida las sesiones anteriores después de un cambio de contraseña, el acceso puede mantenerse incluso después de que un administrador lleve a cabo intentos regulares de reparación, como el restablecimiento de su contraseña
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2021

Vulnerabilidad en HPE StoreServ Management Console (SSMC) (CVE-2021-29214)
Fecha de publicación:
10/12/2021
Idioma:
Español
Se ha identificado una vulnerabilidad de seguridad en HPE StoreServ Management Console (SSMC). Un administrador autenticado de SSMC podría explotar la vulnerabilidad para inyectar código y elevar sus privilegios en SSMC. El alcance de esta vulnerabilidad es limitada a SSMC. Nota: Las matrices que son administradas no están afectadas por esta vulnerabilidad. Esta vulnerabilidad afecta a SSMC versiones 3.4 GA a 3.8.1
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el plugin Comment Engine Pro de WordPress (CVE-2021-36911)
Fecha de publicación:
10/12/2021
Idioma:
Español
Se ha detectado una vulnerabilidad de tipo Cross-Site Scripting (XSS) Almacenado en el plugin Comment Engine Pro de WordPress (versiones anteriores a 1.0 incluyéndola), que podría ser explotada por usuarios con rol de Editor o superior
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2021

Vulnerabilidad en /account/login en Huntflow Enterprise (CVE-2021-37934)
Fecha de publicación:
10/12/2021
Idioma:
Español
Debido a una insuficiente aplicación del límite de intentos de inicio de sesión del lado del servidor, una vulnerabilidad en /account/login en Huntflow Enterprise versiones anteriores a 3.10.14, podría permitir a un usuario remoto no autenticado llevar a cabo múltiples intentos de inicio de sesión para adivinar la contraseña por fuerza bruta
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/12/2021

Vulnerabilidad en la página de inicio de sesión de Huntflow Enterprise (CVE-2021-37935)
Fecha de publicación:
10/12/2021
Idioma:
Español
Una vulnerabilidad de divulgación de información en la página de inicio de sesión de Huntflow Enterprise versiones anteriores a 3.10.4, podría permitir a un usuario remoto no autenticado conseguir información sobre el nombre de dominio del servidor LDAP configurado. Un atacante podría aprovechar esta vulnerabilidad al solicitar la página de inicio de sesión y buscando el parámetro JavaScript "isLdap" en el código fuente HTML
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2021

Vulnerabilidad en openwhyd (CVE-2021-3829)
Fecha de publicación:
10/12/2021
Idioma:
Español
openwhyd es vulnerable a una Redirección de URLs a Sitios no Confiables
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2021

Vulnerabilidad en la interfaz de usuario en F-secure SAFE Browser para Android (CVE-2021-40834)
Fecha de publicación:
10/12/2021
Idioma:
Español
Se ha detectado una vulnerabilidad de superposición de la interfaz de usuario en F-secure SAFE Browser para Android. Cuando el usuario hace clic en una URL aparentemente legítima especialmente diseñada, el navegador SAFE pasa a pantalla completa y oculta la interfaz de usuario. Un atacante remoto puede aprovechar esto para llevar a cabo un ataque de suplantación de identidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2021

Vulnerabilidad en los dispositivos Digi TransPort (CVE-2021-37188)
Fecha de publicación:
10/12/2021
Idioma:
Español
Se ha detectado un problema en los dispositivos Digi TransPort versiones hasta 21-07-2021. Un atacante autenticado puede cargar un firmware personalizado (porque el cargador de arranque no verifica que sea auténtico), cambiando el comportamiento de la puerta de enlace
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el protocolo ZING en Digi TransPort DR64, SR44 VC74 y WR (CVE-2021-35978)
Fecha de publicación:
10/12/2021
Idioma:
Español
Se ha detectado un problema en Digi TransPort DR64, SR44 VC74 y WR. El protocolo ZING permite una ejecución arbitraria de comandos remotos con privilegios SUPER. Esto permite a un atacante (con conocimiento del protocolo) ejecutar código arbitrario en el controlador, incluyendo la sobreescritura del firmware, la adición/eliminación de usuarios, la deshabilitación del firewall interno, etc
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/12/2021

Vulnerabilidad en el atributo Secure para las cookies confidenciales en las sesiones HTTPS en los dispositivos Digi TransPort Gateway (CVE-2021-37189)
Fecha de publicación:
10/12/2021
Idioma:
Español
Se ha detectado un problema en los dispositivos Digi TransPort Gateway versiones hasta 5.2.13.4. No establecen el atributo Secure para las cookies confidenciales en las sesiones HTTPS, lo que podría causar que el agente de usuario enviara esas cookies en texto sin cifrar a través de una sesión HTTP
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2021

Vulnerabilidad en los dispositivos Digi TransPort (CVE-2021-37187)
Fecha de publicación:
10/12/2021
Idioma:
Español
Se ha detectado un problema en los dispositivos Digi TransPort versiones hasta 21-07-2021. Un atacante autenticado puede leer un archivo de contraseñas (con contraseñas reversibles) del dispositivo, lo que permite descifrar las contraseñas de otros usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2021

Vulnerabilidad en pimcore (CVE-2021-4084)
Fecha de publicación:
10/12/2021
Idioma:
Español
pimcore es vulnerable a una Neutralización Inadecuada de Entradas Durante la Generación de Páginas Web ("Cross-site Scripting")
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2021
Suscribirse a Vulnerabilidades