Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en memory management driver (CVE-2021-0423)
Fecha de publicación:
27/09/2021
Idioma:
Español
En memory management driver, se presenta una posible divulgación de información debido a datos no inicializados. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. ID del Parche: ALPS05403499; ID de Incidencia: ALPS05385714
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en memory management driver (CVE-2021-0422)
Fecha de publicación:
27/09/2021
Idioma:
Español
En memory management driver, es posible que se produzca un bloqueo del sistema debido a una falta de comprobación de límites. Esto podría conllevar a una denegación de servicio local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. ID del Parche: ALPS05403499; ID de Incidencia: ALPS05381071
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en memory management driver (CVE-2021-0424)
Fecha de publicación:
27/09/2021
Idioma:
Español
En memory management driver, es posible que se produzca un bloqueo del sistema debido a una falta de comprobación de límites. Esto podría conllevar a una denegación de servicio local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. ID del Parche: ALPS05403499; ID de Incidencia: ALPS05393787
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en la página de información de recursos para usuarios cuando se configura un webtop completo en el sistema BIG-IP APM (CVE-2021-23054)
Fecha de publicación:
27/09/2021
Idioma:
Español
En las versiones 16.x versiones anteriores a 16.1.0, 15.1.x versiones anteriores a 15.1.4, 14.1.x versiones anteriores a 14.1.4.4 y todas las versiones de 13.1.x, 12.1.x y 11.6.x, se presenta una vulnerabilidad de tipo cross-site scripting (XSS) reflejado en la página de información de recursos para usuarios autenticados cuando se configura un webtop completo en el sistema BIG-IP APM. Nota: Las versiones de software que han alcanzado el Final del Soporte Técnico (EoTS) no son evaluadas
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/10/2021

Vulnerabilidad en el archivo lib/timerqueue.c en la función timerqueue_add en el kernel de Linux (CVE-2021-20317)
Fecha de publicación:
27/09/2021
Idioma:
Español
Se ha encontrado un fallo en el kernel de Linux. Un árbol de temporizadores corrompido hacía que faltara el despertar de la tarea en la función timerqueue_add en el archivo lib/timerqueue.c. Este defecto permite a un atacante local con privilegios de usuario especiales causar una denegación de servicio, ralentizando y eventualmente deteniendo el sistema mientras se ejecuta OSP
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/06/2022

Vulnerabilidad en las peticiones JSON en múltiples dispositivos de control Phoenix Contact PLCnext (CVE-2021-34570)
Fecha de publicación:
27/09/2021
Idioma:
Español
Múltiples dispositivos de control Phoenix Contact PLCnext en versiones anteriores a 2021.0.5 LTS, son propensos a un ataque DoS mediante peticiones JSON especialmente diseñadas
Gravedad CVSS v3.1: ALTA
Última modificación:
28/07/2022

Vulnerabilidad en el paquete passport-oauth2 para Node.js (CVE-2021-41580)
Fecha de publicación:
27/09/2021
Idioma:
Español
**EN DISPUTA** El paquete passport-oauth2 versiones anteriores a 1.6.1 para Node.js maneja inapropiadamente la condición de error de no poder obtener un token de acceso. Esto es explotable en determinados casos de uso en los que un proveedor de identidad OAuth utiliza un código de estado HTTP 200 para los informes de error de autenticación-fracaso, y una aplicación concede la autorización al recibir simplemente el token de acceso (es decir, no intenta usar el token). NOTA: el proveedor de passport-oauth2 no considera esto una vulnerabilidad de passport-oauth2
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/08/2024

Vulnerabilidad en el conector de inteligencia de terceros en Securonix SNYPR (CVE-2021-41385)
Fecha de publicación:
27/09/2021
Idioma:
Español
El conector de inteligencia de terceros en Securonix SNYPR versión 6.3.1 Build 184295_0302, permite a un usuario autenticado conseguir acceso a los detalles de configuración del servidor por medio de un ataque de tipo SSRF
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/10/2021

Vulnerabilidad en un archivo troyano en el directorio de escritura pública %PROGRAMDATA%\ASUS\GamingCenterLib en ASUS ROG Armoury Crate Lite (CVE-2021-40981)
Fecha de publicación:
27/09/2021
Idioma:
Español
ASUS ROG Armoury Crate Lite versiones anteriores a 4.2.10, permite a usuarios locales alcanzar privilegios al colocar un archivo troyano en el directorio de escritura pública %PROGRAMDATA%\ASUS\GamingCenterLib
Gravedad CVSS v3.1: ALTA
Última modificación:
01/10/2021

Vulnerabilidad en el filtro de visualización del usuario en Datalust Seq (CVE-2021-41329)
Fecha de publicación:
27/09/2021
Idioma:
Español
Datalust Seq versiones anteriores a 2021.2.6259, permite a usuarios (con filtros de visualización aplicados a sus cuentas) visualizar los resultados de la consulta no restringidos por su filtro de visualización. Esta exposición de la información, causada por una colisión de claves de la caché interna, se produce cuando el filtro de visualización del usuario incluye una cláusula de matriz o IN, y cuando otro usuario ha ejecutado recientemente una consulta idéntica que difiere sólo por los elementos de la matriz
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en furlongm openvpn-monitor (CVE-2021-31604)
Fecha de publicación:
27/09/2021
Idioma:
Español
furlongm openvpn-monitor versiones hasta 1.1.3, permite una vulnerabilidad de tipo CSRF para desconectar un cliente arbitrario
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2021

Vulnerabilidad en la subcadena "GET /.." en e7d Speed Test (CVE-2021-40349)
Fecha de publicación:
27/09/2021
Idioma:
Español
e7d Speed Test (también se conoce como speedtest) versión 0.5.3, permite un ataque de salto de ruta que resulta en una divulgación de información por medio de la subcadena "GET /.."
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2021
Suscribirse a Vulnerabilidades