Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en las variables de formulario del usuario en el filtro de carga de archivos en GoAhead (CVE-2021-42342)
Fecha de publicación:
14/10/2021
Idioma:
Español
Se ha detectado un problema en GoAhead versiones 4.x y 5.x anteriores a 5.1.5. En el filtro de carga de archivos, las variables de formulario del usuario pueden pasarse a scripts CGI sin que se les anteponga el prefijo CGI. Esto permite tunelizar variables de entorno no confiables en scripts CGI vulnerables
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/10/2021

Vulnerabilidad en la función Open Chat Log en AnyDesk (CVE-2021-40854)
Fecha de publicación:
14/10/2021
Idioma:
Español
AnyDesk versiones anteriores a 6.2.6 y versiones 6.3.x anteriores a 6.3.3, permite a un usuario local alcanzar privilegios de administrador al usar la función Open Chat Log para lanzar un proceso privilegiado del Bloc de notas que puede lanzar otras aplicaciones
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2021

Vulnerabilidad en la salida directa de la función strlen() en checkpath en OpenRC (CVE-2021-42341)
Fecha de publicación:
14/10/2021
Idioma:
Español
checkpath en OpenRC versiones anteriores a 0.44.7, usa la salida directa de la función strlen() para asignar cadenas, que no tiene en cuenta el byte "\0" al final de la cadena. Esto resulta en una corrupción de memoria
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2021

Vulnerabilidad en el parámetro pollingObject de la API getDataCollectionFailureReason en el módulo de diagnósticos de soporte en OpManager de Zoho ManageEngine (CVE-2021-40493)
Fecha de publicación:
13/10/2021
Idioma:
Español
OpManager de Zoho ManageEngine versiones anteriores a 125437, es vulnerable a una inyección SQL en el módulo de diagnósticos de soporte. Esto ocurre por medio del parámetro pollingObject de la API getDataCollectionFailureReason
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/10/2021

Vulnerabilidad en la API del módulo de ataques en el analizador de NetFlow en Zoho ManageEngine OpManger (CVE-2021-41075)
Fecha de publicación:
13/10/2021
Idioma:
Español
El analizador de NetFlow en Zoho ManageEngine OpManger versiones anteriores a 125455, es vulnerable a una inyección SQL en la API del módulo de ataques
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/10/2021

Vulnerabilidad en las instrucciones x86 PREFETCH en algunas CPUs de AMD (CVE-2021-26318)
Fecha de publicación:
13/10/2021
Idioma:
Español
Un ataque de canal lateral basado en el tiempo y la energía aprovechando las instrucciones x86 PREFETCH en algunas CPUs de AMD podría potencialmente resultar en una filtración de información del espacio de direcciones del kernel
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2021

Vulnerabilidad en el archivo view-booking-detail.php en Online DJ Booking Management System (CVE-2021-42223)
Fecha de publicación:
13/10/2021
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) en Online DJ Booking Management System versión 1.0 en el archivo view-booking-detail.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/11/2023

Vulnerabilidad en el parámetro searchifsccode POST en el archivo /search.php en IFSC Code Finder Project (CVE-2021-42224)
Fecha de publicación:
13/10/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en IFSC Code Finder Project versión 1.0, por medio del parámetro searchifsccode POST en el archivo /search.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/11/2023

Vulnerabilidad en Proofpoint Insider Threat Management Server (CVE-2021-40843)
Fecha de publicación:
13/10/2021
Idioma:
Español
Proofpoint Insider Threat Management Server contiene una vulnerabilidad de deserialización no segura en la consola web. Un atacante con acceso de escritura a la base de datos local podría causar la ejecución de código arbitrario con privilegios SYSTEM en el servidor subyacente cuando un usuario de la Consola Web desencadena la recuperación de esos datos. Cuando se encadena con una vulnerabilidad de inyección SQL, la vulnerabilidad podría ser explotada remotamente si usuarios de la Consola Web hacen clic en una serie de URLs maliciosamente diseñadas. Todas las versiones anteriores a 7.11.2 están afectadas
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2021

Vulnerabilidad en la entrada del parámetro del nombre de la base de datos en Proofpoint Insider Threat Management Server (CVE-2021-40842)
Fecha de publicación:
13/10/2021
Idioma:
Español
Proofpoint Insider Threat Management Server contiene una vulnerabilidad de inyección SQL en la consola web. La vulnerabilidad se presenta debido a que no se comprueba la entrada del parámetro del nombre de la base de datos que se requiere en determinadas API no autenticadas. Una URL maliciosa visitada por cualquier persona con acceso a la red del servidor podría ser usada para ejecutar ciegamente sentencias SQL arbitrarias en la base de datos del backend. La versión 7.12.0 y todas las versiones anteriores a 7.11.2 están afectadas
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/10/2021

Vulnerabilidad en interfaz de Personalización en ManageEngine ADManager Plus (CVE-2021-20131)
Fecha de publicación:
13/10/2021
Idioma:
Español
ManageEngine ADManager Plus versión Build 7111 contiene una vulnerabilidad de ejecución de código remota después de la autenticación debido a una carga de archivos comprobada inapropiadamente en la interfaz de Personalización
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2021

Vulnerabilidad en la interfaz de PasswordExpiry en ManageEngine ADManager Plus (CVE-2021-20130)
Fecha de publicación:
13/10/2021
Idioma:
Español
ManageEngine ADManager Plus versión Build 7111, contiene una vulnerabilidad de ejecución de código remota posterior a la autenticación debido una cargas de archivos comprobada inapropiadamente en la interfaz de PasswordExpiry
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2021
Suscribirse a Vulnerabilidades