Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en las funciones de la API en Advantech WebAccess SCADA (CVE-2021-38431)
Fecha de publicación:
15/10/2021
Idioma:
Español
Un usuario autenticado usando Advantech WebAccess SCADA en versiones 9.0.3 y anteriores, puede usar funciones de la API para revelar nombres de proyectos y rutas de otros usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2021

Vulnerabilidad en diversos parámetros en el archivo ~/classes/MyBBXPSettings.php en el plugin MyBB Cross-Poster de WordPress (CVE-2021-39338)
Fecha de publicación:
15/10/2021
Idioma:
Español
El plugin MyBB Cross-Poster de WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado debido a una comprobación insuficiente y saneamiento de entradas por medio de diversos parámetros encontrados en el archivo ~/classes/MyBBXPSettings.php que permitían a atacantes con acceso de usuario administrativo inyectar scripts web arbitrarios, en versiones hasta la 1.0 incluyéndola. Esto afecta a las instalaciones multi-sitio en las que unfiltered_html está deshabilitado para los administradores, y a los sitios en los que unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2021

Vulnerabilidad en diversos parámetros en el archivo ~/admin/class-kjm-admin-notices-admin.php en el plugin KJM Admin Notices de WordPress (CVE-2021-39344)
Fecha de publicación:
15/10/2021
Idioma:
Español
El plugin KJM Admin Notices de WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado debido a una comprobación insuficiente y saneamiento de entradas por medio de diversos parámetros encontrados en el archivo ~/admin/class-kjm-admin-notices-admin.php que permitían a atacantes con acceso de usuario administrativo inyectar scripts web arbitrarios, en versiones hasta la 2.0.1 incluyéndola. Esto afecta a las instalaciones multi-sitio en las que unfiltered_html está deshabilitado para los administradores, y a los sitios en los que unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2021

Vulnerabilidad en los parámetros psjb_exp_in y psjb_curr_in encontrados en el archivo ~/job-settings.php en el plugin Job Board Vanila de WordPress (CVE-2021-39334)
Fecha de publicación:
15/10/2021
Idioma:
Español
El plugin Job Board Vanila de WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado debido a una comprobación insuficiente y saneamiento de entradas por medio de los parámetros psjb_exp_in y psjb_curr_in encontrados en el archivo ~/job-settings.php, que permite a atacantes con acceso de usuario administrativo inyectar scripts web arbitrarios, en versiones hasta la 1.0 incluyéndola. Esto afecta a las instalaciones multi-sitio en las que unfiltered_html está deshabilitado para los administradores, y a los sitios en los que unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2021

Vulnerabilidad en diversos parámetros en el archivo ~/src/admin/class/class-wpgenious-job-listing-options.php en el plugin WpGenius Job Listing de WordPress (CVE-2021-39335)
Fecha de publicación:
15/10/2021
Idioma:
Español
El plugin WpGenius Job Listing de WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado debido a una comprobación insuficiente y saneamiento de entradas por medio de diversos parámetros encontrados en el archivo ~/src/admin/class/class-wpgenious-job-listing-options.php que permitían a atacantes con acceso de usuario administrativo inyectar scripts web arbitrarios, en versiones hasta la 1.0.2 incluyéndola. Esto afecta a las instalaciones multi-sitio en las que unfiltered_html está deshabilitado para los administradores, y a los sitios en los que unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2021

Vulnerabilidad en diversos parámetros en el archivo ~/admin-jobs.php el plugin Job Manager de WordPress (CVE-2021-39336)
Fecha de publicación:
15/10/2021
Idioma:
Español
El plugin Job Manager de WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado debido a una comprobación insuficiente y saneamiento de entradas por medio de diversos parámetros encontrados en el archivo ~/admin-jobs.php que permitían a atacantes con acceso de usuario administrativo inyectar scripts web arbitrarios, en versiones hasta la 0.7.25 incluyéndola. Esto afecta a las instalaciones multi-sitio donde unfiltered_html está deshabilitado para los administradores, y a los sitios donde unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2021

Vulnerabilidad en Aruba ClearPass Policy Manager (CVE-2021-37736)
Fecha de publicación:
15/10/2021
Idioma:
Español
Se ha detectado una vulnerabilidad de omisión de autenticación remota en Aruba ClearPass Policy Manager versión(es): ClearPass Policy Manager 6.10.x anteriores a 6.10.2 - - ClearPass Policy Manager 6.9.x anteriores a 6.9.7-HF1 - - ClearPass Policy Manager 6.8.x anteriores a 6.8.9-HF1. Aruba ha publicado parches para ClearPass Policy Manager que abordan esta vulnerabilidad de seguridad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/07/2022

Vulnerabilidad en el plugin Business Manager de WordPress (CVE-2021-39332)
Fecha de publicación:
15/10/2021
Idioma:
Español
El plugin Business Manager de WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado debido a una comprobación insuficiente y saneamiento de entradas encontradas en todo el plugin, que permite a atacantes con acceso de usuario administrativo inyectar scripts web arbitrarios, en versiones hasta la 1.4.5 incluyéndola. Esto afecta a las instalaciones multi-sitio en las que unfiltered_html está deshabilitado para los administradores, y a los sitios en los que unfiltered_html está deshabilitado
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/01/2026

Vulnerabilidad en la página del historial de aprendizaje de Easytest (CVE-2021-42336)
Fecha de publicación:
15/10/2021
Idioma:
Español
La página del historial de aprendizaje de Easytest es vulnerable por una omisión de permisos. Después de obtener permisos de usuario, unos atacantes remotos pueden acceder a la información de la cuenta de otros usuarios y del administrador, excepto la contraseña, al diseñar parámetros de la URL
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2022

Vulnerabilidad en los caracteres especiales en la función de administración del tablón de anuncios de la plataforma de aprendizaje en línea Easytest (CVE-2021-42335)
Fecha de publicación:
15/10/2021
Idioma:
Español
La función de administración del tablón de anuncios de la plataforma de aprendizaje en línea Easytest no filtra los caracteres especiales. Después de alcanzar privilegios de usuario, unos atacantes remotos pueden inyectar JavaScript y ejecutar un ataque de tipo XSS almacenado
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2021

Vulnerabilidad en Aruba ClearPass Policy Manager (CVE-2021-40999)
Fecha de publicación:
15/10/2021
Idioma:
Español
Se ha detectado una vulnerabilidad de ejecución remota de comandos arbitrarios en Aruba ClearPass Policy Manager las versión(es): ClearPass Policy Manager 6.10.x anteriores a 6.10.2 - - ClearPass Policy Manager 6.9.x anteriores a 6.9.7-HF1 - - ClearPass Policy Manager 6.8.x anteriores a 6.8.9-HF1. Aruba ha publicado parches para ClearPass Policy Manager que abordan esta vulnerabilidad de seguridad
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2021

Vulnerabilidad en los caracteres especiales en el parámetro title en la función "List_Add" del tablero de mensajes de ShinHer StudyOnline System (CVE-2021-42329)
Fecha de publicación:
15/10/2021
Idioma:
Español
La función "List_Add" del tablero de mensajes de ShinHer StudyOnline System no filtra los caracteres especiales en el parámetro title. Después de iniciar sesión con privilegios de usuario, unos atacantes remotos pueden inyectar JavaScript y ejecutar ataques de tipo XSS almacenados
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2021
Suscribirse a Vulnerabilidades