Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo ConfirmConnectActivity.java en la función onCreate de Android (CVE-2021-0598)
Fecha de publicación:
06/10/2021
Idioma:
Español
En la función onCreate del archivo ConfirmConnectActivity.java, se presenta un posible emparejamiento de dispositivos Bluetooth no confiables debido a un ataque de tapjacking/overlay. Esto podría conllevar a una escalada local de privilegios con los privilegios de ejecución User necesarios. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11 Android-8.1 Android-9 Android-10, ID de Android: A-180422108
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en la configuración de IOMMU en unos Dispositivos PCI (CVE-2021-28702)
Fecha de publicación:
06/10/2021
Idioma:
Español
Unos Dispositivos PCI con RMRRs no desasignados correctamente Determinados dispositivos PCI de un sistema pueden tener asignadas Regiones de Memoria Reservada (especificadas por medio de Informes de Regiones de Memoria Reservada, "RMRR"). Normalmente son usados para tareas de plataforma como la emulación USB heredada. Si un dispositivo de este tipo se pasa a un huésped, entonces al apagar el huésped el dispositivo no se desasigna correctamente. La configuración de IOMMU para estos dispositivos que no son desasignados correctamente termina apuntando a una estructura de datos liberada, incluyendo las Tablas de Página IO. Las subsiguientes DMA o interrupciones del dispositivo tendrán un comportamiento impredecible, que va desde fallos de IOMMU hasta corrupción de memoria
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en Gate One (CVE-2020-19003)
Fecha de publicación:
06/10/2021
Idioma:
Español
Un problema en Gate One versión 1.2.0, permite a atacantes omitir la comprobación realizada por la lista de orígenes y conectarse a instancias de Gate One usadas por hosts que no están en la lista de orígenes
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2022

Vulnerabilidad en Trend Micro Apex One, Apex One as a Service, Worry-Free Business Security y Worry-Free Business Security Services (CVE-2021-3848)
Fecha de publicación:
06/10/2021
Idioma:
Español
Una vulnerabilidad de creación de archivos arbitrarios por escalada de privilegios en Trend Micro Apex One, Apex One as a Service, Worry-Free Business Security versión 10.0 SP1 y Worry-Free Business Security Services podría permitir a un atacante local crear un archivo arbitrario con privilegios superiores que podría conllevar a una denegación de servicio (DoS) en las instalaciones afectadas. Nota: un atacante debe obtener primero la capacidad de ejecutar código con privilegios bajos en el sistema de destino para poder explotar esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en FortiAnalyzerVM y FortiManagerVM (CVE-2021-36170)
Fecha de publicación:
06/10/2021
Idioma:
Español
Una vulnerabilidad de divulgación de información [CWE-200] en FortiAnalyzerVM y FortiManagerVM versiones 7.0.0 y 6.4.6 y por debajo, puede permitir a un atacante autenticado leer las credenciales de FortiCloud que fueron usadas para activar la licencia de prueba en texto sin cifrar
Gravedad CVSS v3.1: BAJA
Última modificación:
14/10/2021

Vulnerabilidad en un archivo zip en el motor de F-Secure Antivirus (CVE-2021-33602)
Fecha de publicación:
06/10/2021
Idioma:
Español
Se ha detectado una vulnerabilidad que afecta al motor de F-Secure Antivirus cuando el motor intenta descomprimir un archivo zip (método de descompresión LZW), y esto puede bloquear el motor de análisis. La vulnerabilidad puede ser explotada remotamente por un atacante. Un ataque con éxito resultará en una Denegación de Servicio del motor Antivirus
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2021

Vulnerabilidad en la configuración de la columna de Logview en FortiAnalyzer (CVE-2021-24021)
Fecha de publicación:
06/10/2021
Idioma:
Español
Una vulnerabilidad de neutralización inapropiada de la entrada [CWE-79] en FortiAnalyzer versiones 6.4.3 y por debajo, 6.2.7 y por debajo y 6.0.10 y por debajo, puede permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross site scripting attack (XSS) almacenado por medio de la configuración de la columna de Logview en FortiAnalyzer, si el atacante es capaz de obtener esa petición POST, por medio de otros ataques hipotéticos
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2021

Vulnerabilidad en la búsqueda en la página de configuración en Fortinet FortiSDNConnector (CVE-2021-36178)
Fecha de publicación:
06/10/2021
Idioma:
Español
Una protección insuficiente de las credenciales en Fortinet FortiSDNConnector versión 1.1.7 y por debajo, permite a un atacante divulgar información de credenciales de dispositivos de terceros por medio de la búsqueda en la página de configuración
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2021

Vulnerabilidad en FortiClientEMS (CVE-2021-24019)
Fecha de publicación:
06/10/2021
Idioma:
Español
Una vulnerabilidad de caducidad de sesión insuficiente [CWE- 613] en FortiClientEMS versiones 6.4.2 y por debajo, versiones 6.2.8 y por debajo, puede permitir a un atacante reusar los ID de sesión del usuario administrador no caducados para obtener privilegios de administrador, si el atacante es capaz de obtener ese ID de sesión (por medio de otros ataques hipotéticos)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/10/2021

Vulnerabilidad en el parámetro name de Deployment Packages en FortiClientEMS (CVE-2020-15941)
Fecha de publicación:
06/10/2021
Idioma:
Español
Una vulnerabilidad de salto de ruta [CWE-22] en FortiClientEMS versiones 6.4.1 y por debajo; versiones 6.2.8 y por debajo, puede permitir a un atacante autenticado inyectar secuencias de caracteres de salto de directorio para añadir/borrar los archivos del servidor por medio del parámetro name de Deployment Packages
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2021

Vulnerabilidad en el parámetro name/description/comments en FortiWebManager (CVE-2021-36175)
Fecha de publicación:
06/10/2021
Idioma:
Español
Una vulnerabilidad de neutralización inapropiada de entradas [CWE-79] en FortiWebManager versiones 6.2.3 y por debajo, 6.0.2 y por debajo; puede permitir a un atacante remoto autenticado inyectar scripts/etiquetas maliciosas por medio del parámetro name/description/comments de varias secciones del dispositivo
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/10/2021

Vulnerabilidad en los límites de los argumentos decimales en Vyper (CVE-2021-41122)
Fecha de publicación:
05/10/2021
Idioma:
Español
Vyper es un lenguaje de contrato inteligente de Python para el EVM. En las versiones afectadas, las funciones externas no comprueban correctamente los límites de los argumentos decimales. Esto puede conllevar a errores lógicos. Este problema ha sido resuelto en la versión 0.3.0
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/08/2023
Suscribirse a Vulnerabilidades