Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el formulario Feedback to Learner en Blackboard Learn (CVE-2021-36747)
Fecha de publicación:
20/07/2021
Idioma:
Español
Blackboard Learn versiones hasta 9.1, permite un ataque de tipo XSS por un usuario autenticado por medio del formulario Feedback to Learner
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/07/2021

Vulnerabilidad en el editor HTML de Instrucciones de Asignación en Blackboard Learn (CVE-2021-36746)
Fecha de publicación:
20/07/2021
Idioma:
Español
Blackboard Learn versiones hasta 9.1, permite un ataque de tipo XSS por un usuario autenticado por medio del editor HTML de Instrucciones de Asignación
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/07/2021

Vulnerabilidad en las páginas aspx en la aplicación URL en IDCE de MV (CVE-2020-23284)
Fecha de publicación:
20/07/2021
Idioma:
Español
Una divulgación de información en páginas aspx en la aplicación IDCE versión v1.0 de MV, permite a un atacante copiar y pegar páginas aspx en el final de la aplicación URL que se conectan a la base de datos, lo que revela información interna y confidencial sin necesidad de iniciar sesión en la aplicación web
Gravedad CVSS v3.1: ALTA
Última modificación:
31/07/2021

Vulnerabilidad en el archivo /var/www/core/controller/index.php en la función set_banner() en la consola web para el firmware Mimosa B5, B5c y C5x (CVE-2020-25205)
Fecha de publicación:
20/07/2021
Idioma:
Español
La consola web para el firmware Mimosa B5, B5c y C5x versiones hasta 2.8.0.2, es vulnerable a un ataque de tipo XSS almacenado en la función set_banner() del archivo /var/www/core/controller/index.php. Un atacante no autenticado puede ajustar el contenido del archivo /mnt/jffs2/banner.txt, almacenado en el sistema de archivos del dispositivo, para que contenga JavaScript arbitrario. El contenido del archivo es usado entonces como parte de un mensaje de welcome/banner presentado a usuarios no autenticados que visitan la página de inicio de sesión de la consola web. Esta vulnerabilidad no ocurre en las versiones de firmware 1.5.x más antiguas
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/07/2021

Vulnerabilidad en un archivo basic/unit-name.c en systemd (CVE-2021-33910)
Fecha de publicación:
20/07/2021
Idioma:
Español
basic/unit-name.c en systemd anterior a las versiones 246.15, 247.8, 248.5 y 249.1 tiene una asignación de memoria con un valor de tamaño excesivo (que involucra a strdupa y alloca para un nombre de ruta controlado por un atacante local) que resulta en una caída del sistema operativo
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/06/2025

Vulnerabilidad en el envío de las peticiones POST en las clases API Throughput, WANStats, PhyStats y QosStats en la consola web para el firmware Mimosa B5, B5c y C5x (CVE-2020-25206)
Fecha de publicación:
20/07/2021
Idioma:
Español
La consola web para el firmware Mimosa B5, B5c y C5x versiones hasta 2.8.0.2, permite una inyección de comandos autenticados en las clases API Throughput, WANStats, PhyStats y QosStats. Un atacante con acceso a una cuenta de consola web puede ejecutar comandos del sistema operativo en los dispositivos afectados mediante el envío de peticiones POST diseñadas a los endpoints afectados (/core/api/calls/Throughput.php, /core/api/calls/WANStats.php, /core/api/calls/PhyStats.php, /core/api/calls/QosStats.php). El resultado es la toma completa del dispositivo vulnerable. Esta vulnerabilidad no ocurre en las versiones de firmware 1.5.x más antiguas
Gravedad CVSS v3.1: ALTA
Última modificación:
05/10/2022

Vulnerabilidad en un archivo fs/seq_file.c en el kernel de Linux (CVE-2021-33909)
Fecha de publicación:
20/07/2021
Idioma:
Español
Un archivo fs/seq_file.c en el kernel de Linux versiones 3.16 hasta 5.13.x anteriores a 5.13.4, no restringe apropiadamente las asignaciones de búferes seq, conllevando a un desbordamiento de enteros, una escritura fuera de límites y una escalada a root por parte de un usuario no privilegiado, también se conoce como CID-8cae8cd89f05
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un método "quote" en la clase "MessagesController" de OpenProject (CVE-2021-32763)
Fecha de publicación:
20/07/2021
Idioma:
Español
OpenProject es un software de administración de proyectos de código abierto basado en la web. En versiones anteriores a 11.3.3, la clase "MessagesController" de OpenProject presenta un método "quote" que implementa la lógica detrás del botón Quote en los foros de discusión, y usa una regex para eliminar las etiquetas "(pre)" del mensaje que se está citando. La parte "(.|\s)" puede coincidir con un carácter de espacio de dos maneras, por lo que una etiqueta "(pre)" no terminada que contenga "n" espacios causa que el motor regex de Ruby retroceda para intentar 2(sup)n(/sup) estados en el NFA. Esto resultaría en una Denegación de Servicio de Expresión Regular. El problema es corregido en OpenProject versión11.3.3. Como solución, se puede instalar el parche manualmente
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/04/2022

Vulnerabilidad en la consola de autoservicio en IBM Cloud Pak System (CVE-2021-20478)
Fecha de publicación:
20/07/2021
Idioma:
Español
IBM Cloud Pak System versión 2.3, podría permitir a un usuario local en algunas situaciones visualizar los artefactos de otro usuario en la consola de autoservicio. IBM X-Force ID: 197497
Gravedad CVSS v3.1: BAJA
Última modificación:
28/06/2022

Vulnerabilidad en la configuración para _backend layouts_ en TYPO3 (CVE-2021-32669)
Fecha de publicación:
20/07/2021
Idioma:
Español
TYPO3 es un sistema de administración de contenidos web de código abierto basado en PHP. Unas versiones 9.0.0 hasta 9.5.28, 10.0.0 hasta 10.4.17, y 11.0.0 hasta 11.3.0, presentan una vulnerabilidad de tipo cross-site scripting. Cuando la configuración para _backend layouts_ no está codificada apropiadamente, la visualización de la cuadrícula correspondiente es vulnerable a un ataque de tipo cross-site scripting persistente. Es necesario una cuenta de usuario de backend válida para explotar esta vulnerabilidad. TYPO3 versiones 9.5.29, 10.4.18 y 11.3.1 contienen un parche para esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/07/2021

Vulnerabilidad en unas credenciales de usuarios en TYPO3 (CVE-2021-32767)
Fecha de publicación:
20/07/2021
Idioma:
Español
TYPO3 es un sistema de administración de contenidos web de código abierto basado en PHP. En versiones 9.0.0 hasta 9.5.27, 10.0.0 hasta 10.4.17, y 11.0.0 hasta 11.3.0, unas credenciales de usuarios pueden ser registradas como texto plano. Esto ocurre cuando se usa explícitamente el nivel de registro de depuración, que no es la configuración predeterminada. TYPO3 versiones 9.5.28, 10.4.18 y 11.3.1, contienen un parche para esta vulnerabilidad
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/09/2021

Vulnerabilidad en un archivo WAV en la función msadpcm_decode_block de libsndfile (CVE-2021-3246)
Fecha de publicación:
20/07/2021
Idioma:
Español
Una vulnerabilidad de desbordamiento de buffer en la función msadpcm_decode_block de libsndfile versión 1.0.30, permite a atacantes ejecutar código arbitrario por medio de un archivo WAV diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades