Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en en enlaces públicos protegidos por la protección por contraseña en el servidor ownCloud (CVE-2021-35948)
Fecha de publicación:
07/09/2021
Idioma:
Español
Una fijación de la sesión en enlaces públicos protegidos por contraseña en el servidor ownCloud versiones anteriores a 10.8.0, permite a un atacante omitir la protección por contraseña cuando puede forzar a un cliente objetivo a usar una cookie controlada
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/09/2021

Vulnerabilidad en Nextcloud Circles (CVE-2021-37630)
Fecha de publicación:
07/09/2021
Idioma:
Español
Nextcloud Circles es una red social de código abierto construida para el ecosistema nextcloud. En las versiones afectadas la aplicación Nextcloud Circles permitía a cualquier usuario unirse a cualquier "Secret Circle" sin la aprobación del propietario del Círculo, filtrando información privada. Es recomendado actualizar Nextcloud Circles a versiones 0.19.15, 0.20.11 o 0.21.4. No se presentan soluciones para este problema
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en Deck (CVE-2021-37631)
Fecha de publicación:
07/09/2021
Idioma:
Español
Deck es una herramienta de organización estilo kanban de código abierto destinada a la planificación personal y la organización de proyectos para equipos integrada con Nextcloud. En las versiones afectadas, la aplicación Deck no comprobaba apropiadamente la pertenencia de los usuarios a un Circle. Esto permitía a otros usuarios de la instancia conseguir acceso a los tableros que se habían compartido con un Circle, incluso si el usuario no era miembro del mismo. Se recomienda actualizar Nextcloud Deck a versión 1.5.1, 1.4.4 o 1.2.9. Si no se puede actualizar es aconsejable deshabilitar el plugin Deck
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en ClinicCases (CVE-2021-38704)
Fecha de publicación:
07/09/2021
Idioma:
Español
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) reflejado en ClinicCases versión 7.3.3, permiten a atacantes no autenticados introducir JavaScript arbitrario diseñando una URL maliciosa. Esto puede dar lugar a la toma de posesión de la cuenta por medio del robo de tokens de sesión
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2021

Vulnerabilidad en Nextcloud Circles (CVE-2021-32782)
Fecha de publicación:
07/09/2021
Idioma:
Español
Nextcloud Circles es una red social de código abierto construida para el ecosistema nextcloud. En las versiones afectadas la aplicación Nextcloud Circles es susceptible a una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado. Debido a una estricta política de seguridad de contenidos incluida en Nextcloud, este problema no es explotable en los navegadores modernos que soportan la política de seguridad de contenidos. Es recomendado actualizar la aplicación Nextcloud Circles a versiones 0.21.3, 0.20.10 o 0.19.14 para resolver este problema. Como solución alternativa, los usuarios pueden usar un navegador que sea compatible con Content-Security-Policy. Una excepción notable es Internet Explorer, que no soporta CSP adecuadamente
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/09/2021

Vulnerabilidad en la función find_color_or_error en gifsicle (CVE-2020-19752)
Fecha de publicación:
07/09/2021
Idioma:
Español
La función find_color_or_error en gifsicle versión 1.92, contiene una desreferencia de puntero NULL
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la API REST en pcapture (CVE-2021-39196)
Fecha de publicación:
07/09/2021
Idioma:
Español
pcapture es una interfaz de servicio web dumpcap de código abierto. En las versiones afectadas esta vulnerabilidad permite a un usuario autenticado pero sin privilegios usar la API REST para capturar y descargar paquetes sin filtro de captura y sin los permisos adecuados. Esto es importante porque los filtros de captura pueden limitar efectivamente el alcance de la información que un usuario puede visualizar en las capturas de datos. Si no se presenta ningún filtro, pueden capturarse y descargarse todos los datos del segmento de red local donde es ejecutado el programa. La versión 3.12 corrige este problema. No se presenta ninguna solución, debe actualizar a versión v3.12 o superior
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2022

Vulnerabilidad en el controlador de recursos compartidos públicos en el servidor ownCloud (CVE-2021-35947)
Fecha de publicación:
07/09/2021
Idioma:
Español
El controlador de recursos compartidos públicos en el servidor ownCloud versiones anteriores a 10.8.0, permite a un atacante remoto visualizar la ruta interna y el nombre de usuario de un recurso compartido público al incluir caracteres no válidos en la URL
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en el controlador shareinfo en el servidor ownCloud (CVE-2021-35949)
Fecha de publicación:
07/09/2021
Idioma:
Español
El controlador shareinfo en el servidor ownCloud versiones anteriores a 10.8.0, permite a un atacante omitir las comprobaciones de permisos para los recursos compartidos sólo de carga y listar los metadatos sobre el recurso compartido
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en remark-html (CVE-2021-39199)
Fecha de publicación:
07/09/2021
Idioma:
Español
remark-html es una librería nodejs de código abierto que compila Markdown a HTML. En las versiones afectadas, la documentación de remark-html mencionaba que era segura por defecto. En la práctica, nunca fue segura por defecto y había que optar por ella. Es decir, la entrada del usuario no era saneada. Esto significa que se puede pasar HTML arbitrario, conllevando a potenciales ataques de tipo XSS. El problema ha sido parcheado en las versiones 13.0.2 y 14.0.1: "remark-html" es ahora seguro por defecto, y la implementación coincide con la documentación. En versiones anteriores afectadas, pase "sanitize: true" si no puede actualizar
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en el manejo de "Upload from URL" y archivos adjuntos en Misskey (CVE-2021-39195)
Fecha de publicación:
07/09/2021
Idioma:
Español
Misskey es una plataforma de microblogging descentralizada de código abierto. En las versiones afectadas se presenta una vulnerabilidad de tipo Server-Side Request Forgery en el manejo de "Upload from URL" y archivos adjuntos remotos. Esto podría resultar en una divulgación de información no pública dentro de la red interna. Esto es corregido en versión 12.90.0. Sin embargo, si esta usando un proxy, necesitará tomar medidas adicionales. Como solución alternativa, este problema puede ser evitado restringiendo apropiadamente el acceso a las redes privadas desde el host donde se ejecuta la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en la protección CSRF para las peticiones internas en better_errors (CVE-2021-39197)
Fecha de publicación:
07/09/2021
Idioma:
Español
better_errors es un reemplazo de código abierto para la página de error estándar de Rails con páginas de error más ricas en información. También puede ser usado fuera de Rails en cualquier aplicación Rack como middleware Rack. better_errors versiones anteriores a 2.8.0, no implementaba la protección CSRF para sus peticiones internas. Tampoco aplicaba la cabecera "Content-Type" correcta para estas peticiones, que permitía realizar una "petición simple" de origen cruzado sin protección CORS. Todo esto dejaba una aplicación con better_errors habilitado abierta a ataques de origen cruzado. Como herramienta para desarrolladores, la documentación de better_errors recomienda encarecidamente que se añada sólo al grupo de paquetes "development", por lo que esta vulnerabilidad sólo debería afectar a los entornos de desarrollo. Por favor, asegúrese de que su proyecto limita better_errors al grupo "development" (o su equivalente no Rails). A partir de la versión 2.8.x, se aplica la protección CSRF. Se recomienda actualizar a la última versión, o como mínimo a " versiones posteriores a 2.8.3". No se presentan soluciones conocidas para mitigar el riesgo de usar versiones anteriores de better_errors
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2021
Suscribirse a Vulnerabilidades