Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el controlador ECOA BAS (CVE-2021-41293)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS sufre una vulnerabilidad de salto de ruta, causando la divulgación de archivos arbitrarios. usando el parámetro POST específico, unos atacantes no autenticados pueden divulgar remotamente archivos arbitrarios en el dispositivo afectado y divulgar información confidencial y del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2021

Vulnerabilidad en el parámetro GET en el controlador ECOA BAS (CVE-2021-41294)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS sufre una vulnerabilidad de salto de ruta, causando el borrado arbitrario de archivos. usando el parámetro GET específico, unos atacantes no autenticados pueden eliminar remotamente archivos arbitrarios en el dispositivo afectado y causar un escenario de denegación de servicio
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/10/2021

Vulnerabilidad en el controlador ECOA BAS (CVE-2021-41295)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS presenta una vulnerabilidad de tipo Cross-Site Request Forgery, por lo que un atacante autenticado puede colocar remotamente una petición falsificada en una página web maliciosa y ejecutar comandos CRUD (GET, POST, PUT, DELETE) para llevar a cabo operaciones arbitrarias en el sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2021

Vulnerabilidad en el parámetro GET en el controlador ECOA BAS (CVE-2021-41291)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS sufre una vulnerabilidad de divulgación de contenido de salto de ruta. usando el parámetro GET en el Administrador de Archivos, unos atacantes no autenticados pueden divulgar remotamente el contenido del directorio en el dispositivo afectado
Gravedad CVSS v3.1: ALTA
Última modificación:
07/10/2021

Vulnerabilidad en los parámetros POST en el controlador ECOA BAS (CVE-2021-41290)
Fecha de publicación:
30/09/2021
Idioma:
Español
El controlador ECOA BAS sufre una vulnerabilidad de escritura de archivos arbitraria y de salto de ruta. usando los parámetros POST, unos atacantes no autenticados pueden establecer remotamente valores arbitrarios para la ubicación y el tipo de contenido y conseguir la posibilidad de ejecutar código arbitrario en el dispositivo afectado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/10/2022

Vulnerabilidad en BinaryObjectsHelper en Apache DB DdlUtils (CVE-2021-41616)
Fecha de publicación:
30/09/2021
Idioma:
Español
Apache DB DdlUtils versión 1.0, incluía un BinaryObjectsHelper que estaba pensado para ser usado cuando se migraban datos de bases de datos con un tipo de datos SQL de BINARY, VARBINARY, LONGVARBINARY o BLOB entre bases de datos usando las funciones de ddlutils. La clase BinaryObjectsHelper era no segura y usaba ObjectInputStream.readObject sin comprender que los datos de entrada eran seguros para deserializar. Tenga en cuenta que DdlUtils ya no se está desarrollando activamente. Para solucionar la inseguridad de la clase BinaryObjectHelper, se han realizado los siguientes cambios en DdlUtils: (1) BinaryObjectsHelper.java se ha eliminado del repositorio de fuentes de DdlUtils y, por tanto, la función de DdlUtils de propagar datos de tipos binarios SQL ya no está presente en DdlUtils; (2) La versión ddlutils-1.0 se ha eliminado de la Infraestructura de Distribución de Versiones de Apache; (3) El sitio web de DdlUtils se ha actualizado para indicar que DdlUtils está ahora disponible sólo como código fuente, no como una versión empaquetada
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/04/2025

Vulnerabilidad en el contenido de la página de error en Shuup (CVE-2021-25963)
Fecha de publicación:
30/09/2021
Idioma:
Español
En Shuup, versiones 1.6.0 hasta 2.10.8, son vulnerables a una ataque de tipo Cross-Site Scripting (XSS) reflejado que permite una ejecución de código javascript arbitrario en un navegador víctima. Esta vulnerabilidad se presenta debido a que el contenido de la página de error no se escapa
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/10/2021

Vulnerabilidad en Zoho ManageEngine Remote Access Plus (CVE-2021-41829)
Fecha de publicación:
30/09/2021
Idioma:
Español
Zoho ManageEngine Remote Access Plus versiones anteriores a 10.1.2121.1, es basado en el número de compilación de la aplicación para calcular una determinada clave de cifrado
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el archivo JAR DCBackupRestore en Zoho ManageEngine Remote Access Plus (CVE-2021-41827)
Fecha de publicación:
30/09/2021
Idioma:
Español
Zoho ManageEngine Remote Access Plus versiones anteriores a 10.1.2121.1, presenta credenciales embebidas para el acceso de sólo lectura. Las credenciales están en el código fuente que corresponde al archivo JAR DCBackupRestore
Gravedad CVSS v3.1: ALTA
Última modificación:
05/10/2021

Vulnerabilidad en el archivo resetPWD.xml en Zoho ManageEngine Remote Access Plus (CVE-2021-41828)
Fecha de publicación:
30/09/2021
Idioma:
Español
Zoho ManageEngine Remote Access Plus versiones anteriores a 10.1.2121.1, presenta credenciales embebidas asociadas al archivo resetPWD.xml
Gravedad CVSS v3.1: ALTA
Última modificación:
05/10/2021

Vulnerabilidad en el archivo StaticFlowEntryPusherResource.java en la función checkFlow en Floodlight (CVE-2020-18685)
Fecha de publicación:
30/09/2021
Idioma:
Español
Floodlight versiones hasta 1.2, presenta una comprobación de entrada deficiente en la función checkFlow en el archivo StaticFlowEntryPusherResource.java debido a requisitos previos no comprobados relacionados con los puertos TCP o UDP, o con los ID de grupo o de tabla
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/10/2021

Vulnerabilidad en el archivo StaticFlowEntryPusherResource.java en la función checkFlow en Floodlight (CVE-2020-18683)
Fecha de publicación:
30/09/2021
Idioma:
Español
Floodlight versiones hasta 1.2, presenta una comprobación de entrada deficiente en la función checkFlow en el archivo StaticFlowEntryPusherResource.java debido a un manejo inapropiado de campos no definidos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/10/2021
Suscribirse a Vulnerabilidades