Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Dell OpenManage Enterprise y OpenManage Enterprise-Modular (CVE-2021-21584)
Fecha de publicación:
09/08/2021
Idioma:
Español
Dell OpenManage Enterprise versión 3.5 y OpenManage Enterprise-Modular versión 1.30.00, contienen una vulnerabilidad de divulgación de información. Un atacante autenticado poco privilegiado puede explotar esta vulnerabilidad conllevando a una divulgación de las credenciales del servidor OIDC
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/08/2021

Vulnerabilidad en el envío de datos malformados en Dell OpenManage Enterprise (CVE-2021-21564)
Fecha de publicación:
09/08/2021
Idioma:
Español
Dell OpenManage Enterprise versiones anteriores a 3.6.1, contienen una vulnerabilidad de autenticación inapropiada. Un atacante remoto no autenticado puede explotar potencialmente esta vulnerabilidad para secuestrar una sesión elevada o llevar a cabo acciones no autorizadas mediante el envío de datos malformados
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/10/2022

Vulnerabilidad en Dell OpenManage Enterprise (CVE-2021-21596)
Fecha de publicación:
09/08/2021
Idioma:
Español
Dell OpenManage Enterprise versiones 3.4 hasta 3.6.1 y Dell OpenManage Enterprise Modular versiones 1.20.00 hasta 1.30.00, contienen una vulnerabilidad de ejecución de código remota. Un atacante malicioso con acceso a la subred inmediata puede explotar potencialmente esta vulnerabilidad conllevando a una divulgación de información y una posible elevación de privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
24/10/2022

Vulnerabilidad en Leafkit (CVE-2021-37634)
Fecha de publicación:
09/08/2021
Idioma:
Español
Leafkit es un lenguaje de plantillas con una sintaxis inspirada en Swift. Las versiones anteriores a 1.3.0, son susceptibles de sufrir ataques de tipo Cross-site Scripting (XSS). Esto afecta a cualquiera que pase datos no saneados a las etiquetas variables de Leaf. Antes de esta corrección, Leaf no escapaba las cadenas pasadas a las etiquetas como variables. Si un atacante lograba encontrar una variable que se presentara con sus datos no saneados, podía inyectar scripts en una página de Leaf generada, que podía permitir ataques de tipo XSS si no se habilitaban otras mitigaciones como una Política de Seguridad de Contenidos. Esto ha sido parcheado en versión 1.3.0. Como solución, sanear cualquier entrada no confiable antes de pasarla a Leaf y habilitar una CSP para bloquear los datos de script y CSS en línea
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/08/2021

Vulnerabilidad en la política de seguridad de contenidos predeterminada en Discourse (CVE-2021-37633)
Fecha de publicación:
09/08/2021
Idioma:
Español
Discourse es una plataforma de discusión de código abierto. En versiones anteriores a 2.7.8, la representación de los tooltips de d-popover puede ser susceptible de ataques de tipo XSS. Esta vulnerabilidad sólo afecta a los sitios que han modificado o desactivado la política de seguridad de contenidos predeterminada de Discourse. Este problema está parcheado en la última versión "stable" 2.7.8 de Discourse. Como solución, los usuarios pueden asegurarse de que la política de seguridad de contenidos está activada y no ha sido modificada de forma que sea más vulnerable a ataques de tipo XSS
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/08/2021

Vulnerabilidad en los metadatos de un archivo de imagen en Exiv2 (CVE-2021-37615)
Fecha de publicación:
09/08/2021
Idioma:
Español
Exiv2 es una utilidad de línea de comandos y una biblioteca de C++ para leer, escribir, eliminar y modificar los metadatos de los archivos de imagen. Se encontró una desreferencia de puntero null En versiones v0.27.4 y anteriores a Exiv2. La desreferencia de puntero null es desencadenada cuando Exiv2 es usado para imprimir los metadatos de un archivo de imagen diseñado. Un atacante podría explotar potencialmente la vulnerabilidad para causar una denegación de servicio, si puede engañar a la víctima para que ejecute Exiv2 en un archivo de imagen diseñado. Tenga en cuenta que este bug sólo es desencadenado cuando se imprimen los datos interpretados (traducidos), que es una operación de Exiv2 que es usada con menos frecuencia y que requiere una opción adicional en la línea de comandos ("-p t" o "-P t"). El bug es corregido en versión v0.27.5
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2023

Vulnerabilidad en los metadatos de un archivo de imagen en Exiv2 (CVE-2021-34335)
Fecha de publicación:
09/08/2021
Idioma:
Español
Exiv2 es una utilidad de línea de comandos y una biblioteca C++ para leer, escribir, borrar y modificar los metadatos de los archivos de imagen. En versiones v0.27.4 y anteriores a Exiv2 se detectó una excepción de punto flotante (FPE) debida a una división entera por cero. La FPE es desencadenada cuando Exiv2 es usado para imprimir los metadatos de un archivo de imagen diseñado. Un atacante podría explotar potencialmente la vulnerabilidad para causar una denegación de servicio, si puede engañar a la víctima para que ejecute Exiv2 en un archivo de imagen diseñado. Tenga en cuenta que este bug sólo es desencadenado cuando se imprimen los datos interpretados (traducidos), que es una operación de Exiv2 que es usada con menos frecuencia y que requiere una opción adicional en la línea de comandos ("-p t" o "-P t"). El bug es corregido en versión v0.27.5
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2023

Vulnerabilidad en los metadatos de un archivo de imagen en Exiv2 (CVE-2021-37622)
Fecha de publicación:
09/08/2021
Idioma:
Español
Exiv2 es una utilidad de línea de comandos y una biblioteca C++ para leer, escribir, borrar y modificar los metadatos de los archivos de imagen. Se encontró un bucle infinito En versiones v0.27.4 y anteriores a Exiv2. El bucle infinito es desencadenado cuando Exiv2 es usado para modificar los metadatos de un archivo de imagen diseñado. Un atacante podría explotar potencialmente la vulnerabilidad para causar una denegación de servicio, si puede engañar a la víctima para que ejecute Exiv2 en un archivo de imagen diseñado. Tenga en cuenta que este bug sólo es desencadenado cuando se borran los datos IPTC, que es una operación de Exiv2 que es usada con menos frecuencia y que requiere una opción adicional en la línea de comandos ("-d I rm"). El bug es corregido en versión v0.27.5
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2023

Vulnerabilidad en los metadatos de un archivo de imagen en Exiv2 (CVE-2021-37621)
Fecha de publicación:
09/08/2021
Idioma:
Español
Exiv2 es una utilidad de línea de comandos y una biblioteca C++ para leer, escribir, borrar y modificar los metadatos de los archivos de imagen. Se encontró un bucle infinito En versiones v0.27.4 y anteriores a Exiv2. El bucle infinito es desencadenado cuando Exiv2 es usado para imprimir los metadatos de un archivo de imagen diseñado. Un atacante podría explotar potencialmente la vulnerabilidad para causar una denegación de servicio, si puede engañar a la víctima para que ejecute Exiv2 en un archivo de imagen diseñado. Tenga en cuenta que este bug sólo es desencadenado cuando se imprime el perfil ICC de la imagen, que es una operación de Exiv2 que es usada con menos frecuencia y que requiere una opción adicional en la línea de comandos ("-p C"). El bug es corregido en versión v0.27.5
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2023

Vulnerabilidad en los metadatos de un archivo de imagen en Exiv2 (CVE-2021-37620)
Fecha de publicación:
09/08/2021
Idioma:
Español
Exiv2 es una utilidad de línea de comandos y una biblioteca C++ para leer, escribir, borrar y modificar los metadatos de los archivos de imagen. En versiones v0.27.4 y anteriores a Exiv2 se encontró una lectura fuera de límites. La lectura fuera de límites es desencadenada cuando Exiv2 es usado para leer los metadatos de un archivo de imagen diseñado. Un atacante podría explotar potencialmente la vulnerabilidad para causar una denegación de servicio, si puede engañar a la víctima para que ejecute Exiv2 en un archivo de imagen diseñado. El bug es corregido en versión v0.27.5
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/12/2023

Vulnerabilidad en vectores no especificados relacionados con los archivos Kernel/Output/HTML/PreferencesCustomQueue.pm, Kernel/System/CustomerCompany.pm (CVE-2013-4717)
Fecha de publicación:
09/08/2021
Idioma:
Español
Múltiples vulnerabilidades de inyección SQL en Open Ticket Request System (OTRS) Help Desk versiones 3.0.x anteriores a 3.0.22, 3.1.x anteriores a 3.1.18, y 3.2.x anteriores a 3.2.9, permiten a usuarios remotos autenticados ejecutar comandos SQL arbitrarios por medio de vectores no especificados relacionados con los archivos Kernel/Output/HTML/PreferencesCustomQueue.pm, Kernel/System/CustomerCompany.pm, Kernel/System/Ticket/IndexAccelerator/RuntimeDB.pm, Kernel/System/Ticket/IndexAccelerator/StaticDB.pm y Kernel/System/TicketSearch.pm
Gravedad CVSS v3.1: ALTA
Última modificación:
17/08/2021

Vulnerabilidad en una búsqueda de ITSM ConfigItem en Open Ticket Request System (OTRS) ITSM (CVE-2013-4718)
Fecha de publicación:
09/08/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross-site scripting (XSS) en Open Ticket Request System (OTRS) ITSM versiones 3.0.x anteriores a 3.0.9, versiones 3.1.x anteriores a 3.1.10 y versiones 3.2.x anteriores a 3.2.7, permite a usuarios autenticados remotos inyectar script web o HTML arbitrario por medio de una búsqueda de ITSM ConfigItem
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/08/2021
Suscribirse a Vulnerabilidades