Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la funcionalidad WHM Locale Upload en cPanel (CVE-2021-38584)
Fecha de publicación:
11/08/2021
Idioma:
Español
La funcionalidad WHM Locale Upload en cPanel versiones anteriores a98.0.1 permite ataques de tipo XXE (SEC-585)
Gravedad CVSS v3.1: ALTA
Última modificación:
20/08/2021

Vulnerabilidad en un mensaje de evento de membresía específico en tmerc-cogs (CVE-2021-37697)
Fecha de publicación:
11/08/2021
Idioma:
Español
tmerc-cogs es una colección de plugins de código abierto para el bot Red Discord. Se ha encontrado una vulnerabilidad en el código que permite a cualquier usuario acceder a información confidencial diseñando un mensaje de evento de membresía específico. El problema está parcheado en el commit d63c49b4cfc30c795336e4fff08cba3795e0fcc0. Como solución, los usuarios pueden descargar el engranaje Welcome
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2021

Vulnerabilidad en /scripts/cpan_config en cPanel (CVE-2021-38586)
Fecha de publicación:
11/08/2021
Idioma:
Español
En cPanel versiones anteriores a 98.0.1, /scripts/cpan_config lleva a cabo operaciones no seguras con los archivos (SEC-589)
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2021

Vulnerabilidad en scripts/fix-cpanel-perl en cPanel (CVE-2021-38587)
Fecha de publicación:
11/08/2021
Idioma:
Español
En cPanel versiones anteriores a 96.0.13, scripts/fix-cpanel-perl maneja inapropiadamente la creación de archivos temporales (SEC-586)
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en un mensaje MassDM específico en tmerc-cogs (CVE-2021-37696)
Fecha de publicación:
11/08/2021
Idioma:
Español
tmerc-cogs son una colección de plugins de código abierto para el bot Red Discord. Se ha encontrado una vulnerabilidad en el código que permite a cualquier usuario acceder a información confidencial diseñando un mensaje MassDM específico. El problema está parcheado en el commit 92325be650a6c17940cc52611797533ed95dbbe1. Se recomienda a todos los usuarios que actualicen a la confirmación actual. Como solución, los usuarios pueden descargar el engranaje MassDM o desactivar globalmente el comando "[p]massdm"
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/08/2021

Vulnerabilidad en los derechos en el back-end de Contao (CVE-2021-37627)
Fecha de publicación:
11/08/2021
Idioma:
Español
Contao es un CMS de código abierto que permite la creación de sitios y aplicaciones web escalables. En las versiones afectadas es posible obtener derechos privilegiados en el back-end de Contao. Las instalaciones sólo están afectadas si tienen usuarios de back-end no confiables que tengan acceso al generador de formularios. Se recomienda a todos los usuarios que actualicen a Contao versiones 4.4.56, 4.9.18 o 4.11.7. Como solución, los usuarios pueden desactivar el generador de formularios o desactivar el inicio de sesión para usuarios de back end no confiables
Gravedad CVSS v3.1: ALTA
Última modificación:
20/08/2021

Vulnerabilidad en las etiquetas de inserción en el back-end de Contao (CVE-2021-37626)
Fecha de publicación:
11/08/2021
Idioma:
Español
Contao es un CMS de código abierto que permite crear sitios y aplicaciones web escalables. En las versiones afectadas es posible cargar archivos PHP introduciendo etiquetas de inserción en el back-end de Contao. Las instalaciones sólo están afectadas si presentan usuarios de back end no confiables que tengan derechos para modificar los campos que se muestran en el front end. Actualice a Contao versiones 4.4.56, 4.9.18 o 4.11.7 para resolverlo. Si no puede actualizar, desactive el inicio de sesión para usuarios de back end no confiables
Gravedad CVSS v3.1: ALTA
Última modificación:
20/08/2021

Vulnerabilidad en una biblioteca Encode::ConfigLocal en Encode.pm (CVE-2021-36770)
Fecha de publicación:
11/08/2021
Idioma:
Español
Encode.pm, distribuido en Perl versiones hasta 5.34.0, permite a usuarios locales alcanzar privilegios por medio de una biblioteca Encode::ConfigLocal (en el directorio de trabajo actual) que se adelanta a una carga dinámica de módulos. Una explotación requiere una configuración inusual, y determinadas versiones 2021 de Encode.pm (3.05 hasta 3.11). Este problema ocurre porque el operador || evalúa @INC en un contexto escalar, y por lo tanto @INC sólo tiene un valor entero
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en los datos en Foxit Reader y PhantomPDF (CVE-2021-38574)
Fecha de publicación:
11/08/2021
Idioma:
Español
Se ha detectado un problema en Foxit Reader y PhantomPDF versiones anteriores a 10.1.4. Permite la inyección de SQL por medio de datos diseñados al final de una cadena
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/08/2021

Vulnerabilidad en el tamaño de un array en Foxit PDF Reader y PDF Editor (CVE-2021-38563)
Fecha de publicación:
11/08/2021
Idioma:
Español
Se ha detectado un problema en Foxit PDF Reader versiones anteriores a 11.0.1 y en PDF Editor versiones anteriores a 11.0.1. Se manejan inapropiadamente las situaciones en las que el tamaño de un array (derivado de una entrada /Size) es menor que el número máximo de objeto indirecto, y se produce así un intento de acceso incorrecto al array (conllevando a una desreferencia del puntero NULL o una lectura o escritura fuera de los límites)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/02/2022

Vulnerabilidad en un documento PDF en Foxit Reader y PhantomPDF (CVE-2021-38568)
Fecha de publicación:
11/08/2021
Idioma:
Español
Se ha detectado un problema en Foxit Reader y PhantomPDF versiones anteriores a 10.1.4. Permite una corrupción de memoria durante la conversión de un documento PDF a un formato de documento diferente
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/05/2022

Vulnerabilidad en los recursos de la cámara en el firmware de la cámara NVIDIA (CVE-2021-1113)
Fecha de publicación:
11/08/2021
Idioma:
Español
El firmware de la cámara NVIDIA contiene una vulnerabilidad difícil de explotar en la que un atacante con muchos privilegios puede provocar una modificación no autorizada de los recursos de la cámara, lo que puede provocar una denegación de servicio completa y una pérdida parcial de la integridad de los datos para todos los clientes
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2022
Suscribirse a Vulnerabilidades