Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo de configuración en el producto SYNC2101 (CVE-2021-44564)
Fecha de publicación:
06/01/2022
Idioma:
Español
Una vulnerabilidad de seguridad reportada originalmente en el producto SYNC2101, y aplicable a subfamilias específicas de dispositivos SYNC, permite a un atacante descargar el archivo de configuración usado en el dispositivo y aplicar un archivo de configuración modificado al dispositivo. El ataque requiere el acceso a la red del dispositivo SYNC y el conocimiento de su dirección IP. El ataque aprovecha el canal de comunicación no seguro usado entre la herramienta de administración Easyconnect y el dispositivo SYNC (en la familia de productos SYNC afectados).
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2022

Vulnerabilidad en el parámetro id del archivo /navigate/navigate_download.php en NavigateCMS (CVE-2021-44351)
Fecha de publicación:
06/01/2022
Idioma:
Español
Se presenta una vulnerabilidad de lectura arbitraria de archivos en NavigateCMS versión 2.9 por medio del parámetro id del archivo /navigate/navigate_download.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2022

Vulnerabilidad en Los campos input de Apache Pluto UrlTestPortlet (CVE-2021-36737)
Fecha de publicación:
06/01/2022
Idioma:
Español
Los campos input de Apache Pluto UrlTestPortlet son vulnerables a ataques de tipo Cross-Site Scripting (XSS). Los usuarios deben migrar a la versión 3.1.1 del artefacto v3-demo-portlet.war
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2022

Vulnerabilidad en los campos "first name" y "last name" del arquetipo maven de portlet MVCBean de Apache Pluto (CVE-2021-36739)
Fecha de publicación:
06/01/2022
Idioma:
Español
Los campos "first name" y "last name" del arquetipo maven de portlet MVCBean de Apache Pluto versión 3.1.0, son vulnerables a ataques de tipo Cross-Site Scripting (XSS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2025

Vulnerabilidad en los campos de entrada en la versión JSP de portlet MVCBean CDI de Apache Pluto Applicant (CVE-2021-36738)
Fecha de publicación:
06/01/2022
Idioma:
Español
Los campos de entrada en la versión JSP de portlet MVCBean CDI de Apache Pluto Applicant son vulnerables a ataques de tipo Cross-Site Scripting (XSS). Los usuarios deben migrar a la versión 3.1.1 del artefacto applicant-mvcbean-cdi-jsp-portlet.war
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2022

Vulnerabilidad en el subsistema del llavero en los vehículos Honda Civic 2012 (CVE-2021-46145)
Fecha de publicación:
06/01/2022
Idioma:
Español
El subsistema del llavero en los vehículos Honda Civic 2012 permite un ataque de repetición para el desbloqueo. Esto está relacionado con un código rodante que no caduca y la resincronización del contador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/01/2022

Vulnerabilidad en la función mod_extforward_Forwarded del plugin mod_extforward en lighttpd (CVE-2022-22707)
Fecha de publicación:
06/01/2022
Idioma:
Español
En lighttpd versiones 1.4.46 hasta 1.4.63, la función mod_extforward_Forwarded del plugin mod_extforward tiene un desbordamiento de búfer basado en la pila (4 bytes que representan -1), como lo demuestra la denegación de servicio remota (caída del demonio) en una configuración no predeterminada. La configuración no predeterminada requiere el manejo de la cabecera Forwarded de una manera algo inusual. Además, es mucho más probable que un sistema de 32 bits se vea afectado que un sistema de 64 bits
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2022

Vulnerabilidad en forge (CVE-2022-0122)
Fecha de publicación:
06/01/2022
Idioma:
Español
forge es vulnerable a una Redirección de URLs a Sitios no Confiables
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2022

Vulnerabilidad en un mensaje de correo electrónico HTML con secuencias de tokens de hojas de estilo en cascada (CSS) en Roundcube (CVE-2021-46144)
Fecha de publicación:
06/01/2022
Idioma:
Español
Roundcube versiones anteriores a 1.4.13 y versiones 1.5.x anteriores a 1.5.2, permite una vulnerabilidad de tipo XSS por medio de un mensaje de correo electrónico HTML con secuencias de tokens de hojas de estilo en cascada (CSS) diseñadas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/04/2022

Vulnerabilidad en el paquete zabbix-agent2 para Alpine Linux (CVE-2022-22704)
Fecha de publicación:
06/01/2022
Idioma:
Español
El paquete zabbix-agent2 versiones anteriores a 5.4.9-r1 para Alpine Linux, permite a veces la escalada de privilegios a root porque el diseño esperaba incorrectamente que systemd determinara (en efecto) parte de la configuración.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en el archivo xmlparse.c en la función doProlog en Expat (CVE-2021-46143)
Fecha de publicación:
06/01/2022
Idioma:
Español
En la función doProlog en el archivo xmlparse.c en Expat (también se conoce como libexpat) versiones anteriores a 2.4.3, se presenta un desbordamiento de enteros para m_groupSize.
Gravedad CVSS v3.1: ALTA
Última modificación:
05/05/2025

Vulnerabilidad en uriFreeUriMembers y uriMakeOwner en uriparser (CVE-2021-46141)
Fecha de publicación:
06/01/2022
Idioma:
Español
Se ha detectado un problema en uriparser versiones anteriores a 0.9.6. Lleva a cabo operaciones inválidas en uriFreeUriMembers y uriMakeOwner.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades