Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la Herramienta de Modificaciones Masivas en Nagios XI (CVE-2021-37350)
Fecha de publicación:
13/08/2021
Idioma:
Español
Nagios XI versiones anteriores a 5.8.5, es susceptible a una vulnerabilidad de inyección SQL en la Herramienta de Modificaciones Masivas debido a un saneo inapropiado de la entrada.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/08/2021

Vulnerabilidad en una petición HTTP en Nagios XI (CVE-2021-37351)
Fecha de publicación:
13/08/2021
Idioma:
Español
Nagios XI versiones anteriores a 5.8.5, es vulnerable a los permisos no seguros y permite a usuarios no autenticados acceder a páginas protegidas mediante una petición HTTP diseñada al servidor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2021

Vulnerabilidad en el envío de un enlace con una URL en Nagios XI (CVE-2021-37352)
Fecha de publicación:
13/08/2021
Idioma:
Español
Se presenta una vulnerabilidad de redireccionamiento abierto en Nagios XI versiones anteriores a 5.8.5, que podría conllevar a una suplantación de identidad. Para explotar la vulnerabilidad, un atacante podría enviar un enlace con una URL especialmente diseñada y convencer al usuario de hacer clic en el enlace.
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/08/2021

Vulnerabilidad en el archivo getprofile.sh en Nagios XI (CVE-2021-37347)
Fecha de publicación:
13/08/2021
Idioma:
Español
Nagios XI versiones anteriores a 5.8.5, es vulnerable a una escalada local de privilegios porque el archivo getprofile.sh no comprueba el nombre del directorio que recibe como argumento.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el archivo cleaner.php en Nagios XI (CVE-2021-37349)
Fecha de publicación:
13/08/2021
Idioma:
Español
Nagios XI versiones anteriores a 5.8.5, es vulnerable a una escalada de privilegios local porque el archivo cleaner.php no sanea la entrada leída desde la base de datos.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el componente AutoDiscovery de Nagios XI (CVE-2021-37343)
Fecha de publicación:
13/08/2021
Idioma:
Español
Se presenta una vulnerabilidad de salto de ruta en el componente AutoDiscovery de Nagios XI versiones por debajo de 5.8.5, y podría conllevar a un RCE post autenticado bajo el contexto de seguridad del usuario que ejecuta Nagios.
Gravedad CVSS v3.1: ALTA
Última modificación:
22/02/2022

Vulnerabilidad en el paquete CKEditor 4 [Fake Objects] (https://ckeditor.com/cke4/addon/fakeobjects) en ckeditor (CVE-2021-37695)
Fecha de publicación:
13/08/2021
Idioma:
Español
ckeditor es un editor HTML WYSIWYG de código abierto con soporte de contenido enriquecido. Se ha detectado una vulnerabilidad potencial en el paquete CKEditor 4 [Fake Objects] (https://ckeditor.com/cke4/addon/fakeobjects). La vulnerabilidad permitió inyectar Fake Objects HTML con formato malformado, lo que podría resultar en una ejecución de código JavaScript. Afecta a todos los usuarios que utilizan los plugins de CKEditor 4 enumerados anteriormente en las versiones anteriores a 4.16.2. El problema ha sido reconocido y solucionado. La corrección estará disponible en la versión 4.16.2.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en las funciones de forma "MutableHashTableShape" en TensorFlow (CVE-2021-37690)
Fecha de publicación:
13/08/2021
Idioma:
Español
TensorFlow es una plataforma de código abierto de extremo a extremo para el aprendizaje automático. En las versiones afectadas cuando se ejecutan funciones de forma, algunas funciones (como "MutableHashTableShape") producen información de salida adicional en forma de una estructura" ShapeAndType". Las formas insertadas en esta estructura pertenecen a un contexto de inferencia que se limpia casi de inmediato; si el código ascendente intenta acceder a esta información de forma, puede desencadenar un fallo de segmento. "ShapeRefiner" está mitigando esto para las formas de salida normales al clonarlas (y así poner la forma recién creada bajo la propiedad de un contexto de inferencia que no morirá), pero no estábamos haciendo lo mismo para las formas y los tipos. Este commit corrige eso al hacer una lógica similar en formas y tipos de salida. Hemos solucionado el problema en el commit de GitHub ee119d4a498979525046fba1c3dd3f13a039fbb1. La corrección será incluida en TensorFlow versión 2.6.0. También seleccionaremos este commit en TensorFlow versión 2.5.1, TensorFlow versión 2.4.3 y TensorFlow versión 2.3.4, ya que estos también están afectados y aún se encuentran en el rango admitido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/08/2021

Vulnerabilidad en el campo Information en el archivo core/admin/profil.php en PluXML (CVE-2021-38603)
Fecha de publicación:
12/08/2021
Idioma:
Español
PluXML versión 5.8.7, permite que el archivo core/admin/profil.php almacene una vulnerabilidad XSS por medio del campo Information.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/08/2021

Vulnerabilidad en el Título o el Contenido en PluXML (CVE-2021-38602)
Fecha de publicación:
12/08/2021
Idioma:
Español
PluXML versión 5.8.7 permite la edición de artículos XSS almacenados por medio del Título o el Contenido.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/08/2021

Vulnerabilidad en el uso de NEDEBUG en el encabezado de Rango en Polipo (CVE-2021-38614)
Fecha de publicación:
12/08/2021
Idioma:
Español
** NO SOPORTADO CUANDO SE ASIGNÓ ** Polipo versiones hasta 1.1.1, cuando se usa NDEBUG, permite un desbordamiento de búfer en la pila durante el análisis de un encabezado de Rango. NOTA: Esta vulnerabilidad solo afecta a los productos que ya no son compatibles con el mantenedor.
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2024

Vulnerabilidad en las operaciones de TFLite en TensorFlow (CVE-2021-37682)
Fecha de publicación:
12/08/2021
Idioma:
Español
TensorFlow es una plataforma de código abierto de extremo a extremo para el aprendizaje automático. En las versiones afectadas, todas las operaciones de TFLite que utilizan la cuantificación se pueden hacer para utilizar valores unitarios. [Por ejemplo] (https://github.com/tensorflow/tensorflow/blob/460e000de3a83278fb00b61a16d161b1964f15f4/tensorflow/lite/kernels/depthwise_conv.cc#L198-L200). El problema surge del hecho que "quantization.params" solo es válido si "quantization.type" es diferente de "kTfLiteNoQuantization". Sin embargo, estas comprobaciones faltan en gran parte del código. Hemos solucionado el problema en las commits de GitHub 537bc7c723439b9194a358f64d871dd326c18887, 4a91f2069f7145aab6ba2d8cfe41be8a110c18a5 y 8933b8a21280696ab119b63263babdb54c298538. La corrección será incluida en TensorFlow versión 2.6.0. También seleccionaremos este commit en TensorFlow versión 2.5.1, TensorFlow versión 2.4.3 y TensorFlow versión 2.3.4,
Gravedad CVSS v3.1: ALTA
Última modificación:
19/08/2021
Suscribirse a Vulnerabilidades