Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el engranaje en Ticketer (CVE-2021-29501)
Fecha de publicación:
10/05/2021
Idioma:
Español
Ticketer es un engranaje del sistema (plugin) de tickets basado en comandos para el bot red discord. Una vulnerabilidad permite a usuarios de discord exponer información confidencial que ha sido encontrada en el Ticketer cog. Actualice a la versión 1.0.1 lo antes posible. Como solución alternativa, los usuarios pueden descargar el engranaje de ticketer cog para deshabilitar el código explotable
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2022

CVE-2021-31877
Fecha de publicación:
10/05/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA due to lack of a reference providing provenance. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el motor JavaScript en un documento PDF del Software de Foxit PDF Reader (CVE-2021-21822)
Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una vulnerabilidad de uso de la memoria previamente liberada en el motor JavaScript de Software de Foxit PDF Reader, versión 10.1.3.37598. Un documento PDF especialmente diseñado puede desencadenar la reutilización de la memoria previamente liberada, lo que puede conllevar a una ejecución de código arbitrario. Un atacante necesita engañar a un usuario para abrir un archivo o sitio malicioso para activar esta vulnerabilidad si la extensión del plugin del navegador está habilitada
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2022

Vulnerabilidad en un paquete DHCP FORCERENEW en Systemd 245 (CVE-2020-13529)
Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una vulnerabilidad de denegación de servicio explotable en Systemd 245. Un paquete DHCP FORCERENEW especialmente diseñado puede hacer que un servidor que ejecuta el cliente DHCP sea vulnerable a un ataque de suplantación de DHCP ACK. Un atacante puede falsificar un par de paquetes FORCERENEW y DCHP ACK para reconfigurar el servidor
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de peticiones en un servidor virtual de APM en BIG-IP APM (CVE-2021-23016)
Fecha de publicación:
10/05/2021
Idioma:
Español
En BIG-IP APM versiones 15.1.x anteriores a 15.1.3, versiones 14.1.x anteriores a 14.1.4.1, versiones 13.1.x anteriores a 13.1.4 y todas las versiones de 16.0.x, 12.1.x y 11.6.x, un atacante puede ser capaz de omitir las restricciones internas de APM y recuperar contenido estático alojado en APM mediante el envío de peticiones diseñadas específicamente hacia un servidor virtual de APM. Nota: No se evalúan las versiones de software que hayan alcanzado el End of Technical Support (EoTS)
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en el procesamiento de peticiones de WebSocket con cargas útiles JSON en el sistema BIG-IP ASM/Advanced WAF en BIG-IP (CVE-2021-23010)
Fecha de publicación:
10/05/2021
Idioma:
Español
En las versiones 16.0.x anterior a 16.0.1.1, 15.1.x anteriores a 15.1.2, 14.1.x anterior a 14.1.3.1, 13.1.x anterior a 13.1.3.5 y 12.1.x anterior a 12.1.5.3, cuando el sistema BIG-IP ASM/Advanced WAF procesa peticiones de WebSocket con cargas útiles JSON utilizando el perfil de contenido JSON predeterminado en la política de seguridad ASM, el proceso bd de BIG-IP ASM puede producir un archivo core. Nota: No se evalúan las versiones de software que hayan alcanzado el End of Technical Support (EoTS)
Gravedad CVSS v3.1: ALTA
Última modificación:
19/05/2021

Vulnerabilidad en el Data Plane traffic en las peticiones HTTP/2 en BIG-IP (CVE-2021-23009)
Fecha de publicación:
10/05/2021
Idioma:
Español
En BIG-IP versión 16.0.x anterior a 16.0.1.1 y 15.1.x anterior a 15.1.3, las peticiones HTTP/2 malformadas pueden causar un bucle infinito que provoca una Denegación de Servicio para el Data Plane traffic. TMM toma la acción HA configurada cuando se cancela el proceso de TMM. No existe exposición del plano de control, esto es solo un problema del plano de datos. Nota: No se evalúan las versiones de software que hayan alcanzado el End of Technical Support (EoTS)
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2021

Vulnerabilidad en el rol "Administrator" en el Modo Appliance en BIG-IP (CVE-2021-23015)
Fecha de publicación:
10/05/2021
Idioma:
Español
En BIG-IP versiones 15.1.x anteriores a 15.1.3, versiones 14.1.x anteriores a 14.1.4.2, versiones 13.1.0.8 hasta 13.1.3.6 y todas las versiones de 16.0.x, cuando se ejecuta en Modo Appliance, un usuario autenticado que asignó el rol "Administrator" puede omitir las restricciones del Modo Appliance utilizando endpoints REST de iControl no revelados. Nota: No se evalúan las versiones de software que hayan alcanzado el End of Technical Support (EoTS)
Gravedad CVSS v3.1: ALTA
Última modificación:
24/05/2021

Vulnerabilidad en la carga de archivos en un directorio específico dentro de la API REST en BIG-IP Advanced WAF y ASM (CVE-2021-23014)
Fecha de publicación:
10/05/2021
Idioma:
Español
En las versiones 16.0.x anteriores a 16.0.1.1, versiones 15.1.x anteriores a 15.1.3 y 14.1.x anteriores a 14.1.4, BIG-IP Advanced WAF y ASM están carentes de comprobaciones de autorización para la carga de archivos en un directorio específico dentro de la API REST que podría permitir que los usuarios autenticados con privilegios de invitado carguen archivos. Nota: No se evalúan las versiones de software que hayan alcanzado el End of Technical Support (EoTS)
Gravedad CVSS v3.1: ALTA
Última modificación:
24/05/2021

Vulnerabilidad en los roles de "Resource Administrator" o "Administrator" en la funcionalidad de soporte del sistema de BIG-IP (CVE-2021-23012)
Fecha de publicación:
10/05/2021
Idioma:
Español
En BIG-IP las versiones 16.0.x anteriores a 16.0.1.1, versiones 15.1.x anteriores a 15.1.3, 14.1.x anteriores a 14.1.4 y versiones 13.1.x anteriores a 13.1.4, falta de validación de entrada para los elementos utilizados en la funcionalidad de soporte del sistema puede permitir que los usuarios a los que se les otorguen roles de "Resource Administrator" o "Administrator" ejecutar comandos bash arbitrarios en BIG-IP. Nota: No se evalúan las versiones de software que hayan alcanzado el End of Technical Support (EoTS)
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en el controlador del kernel de Arm Mali GPU en las operaciones de la memoria en Bifrost, Valhall y Midgard (CVE-2021-28663)
Fecha de publicación:
10/05/2021
Idioma:
Español
El controlador del kernel de Arm Mali GPU, permite una escalada de privilegios o una divulgación de información porque las operaciones de la memoria de la GPU son manejadas inapropiadamente, conllevando a un uso de la memoria previamente liberada. Esto afecta a Bifrost versiones r0p0 hasta r28p0, anteriores a r29p0, Valhall versiones r19p0 hasta r28p0 anteriores a r29p0 y Midgard versiones r4p0 hasta r30p0
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en el controlador del kernel de Arm Mali GPU en Bifrost, Valhall y Midgard (CVE-2021-28664)
Fecha de publicación:
10/05/2021
Idioma:
Español
El controlador del kernel de la GPU Arm Mali permite una escalada de privilegios o una denegación de servicio (corrupción de memoria) porque un usuario sin privilegios puede conseguir acceso de lectura/escritura a páginas de sólo lectura. Esto afecta a Bifrost r0p0 hasta r29p0 antes de r30p0, Valhall r19p0 hasta r29p0 antes de r30p0, y Midgard r8p0 hasta r30p0 antes de r31p0
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025
Suscribirse a Vulnerabilidades