Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ILIAS (CVE-2020-23995)
Fecha de publicación:
13/05/2021
Idioma:
Español
Una vulnerabilidad de divulgación de información en ILIAS antes de las versiones 5.3.19, 5.4.12 y 6.0 permite a los atacantes remotos autentificados obtener la ruta de datos de carga a través de una carga de espacio de trabajo
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2022

Vulnerabilidad en Pydantic (CVE-2021-29510)
Fecha de publicación:
13/05/2021
Idioma:
Español
Pydantic es un sistema de validación de datos y gestión de configuraciones que utiliza las sugerencias de tipo de Python. En las versiones afectadas, pasar `'infinity'`, `'inf'` o `float('inf')` (o sus negativos) a los campos `datetime` o `date` hace que la validación se ejecute eternamente con un uso del 100% de la CPU (en una CPU). Pydantic ha sido parcheado con correcciones disponibles en las siguientes versiones: v1.8.2, v1.7.4, v1.6.2. Todas estas versiones están disponibles en pypi(https://pypi.org/project/pydantic/#history), y estarán disponibles en conda-forge(https://anaconda.org/conda-forge/pydantic) pronto. Consulta el registro de cambios(https://pydantic-docs.helpmanual.io/) para más detalles. Si no puedes actualizar absolutamente, puedes evitar este riesgo usando un validador(https://pydantic-docs.helpmanual.io/usage/validators/) para capturar estos valores. Esta no es una solución ideal (en particular, necesitarás una función ligeramente diferente para las fechas), en lugar de un hack como este deberías actualizar pydantic. Si no estás usando v1.8.x, v1.7.x o v1.6.x y no puedes actualizar a una versión fija de pydantic, por favor crea un issue en https://github.com/samuelcolvin/pydantic/issues solicitando un back-port, y nos esforzaremos en liberar un parche para versiones anteriores de pydantic
Gravedad CVSS v3.1: BAJA
Última modificación:
08/12/2025

Vulnerabilidad en en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz (CVE-2021-23907)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz hasta 2021. El recuento en MultiSvGet, GetAttributes y MultiSvSet no se comprueba en el protocolo HiQnet, lo que lleva a la ejecución remota de código
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/02/2022

Vulnerabilidad en un desbordamiento del búfer basado en la pila en Omron CX-One (CVE-2021-27413)
Fecha de publicación:
13/05/2021
Idioma:
Español
Las versiones 4.60 y anteriores de Omron CX-One, incluidas las versiones 5.0.29.0 y anteriores de CX-Server, son vulnerables a un desbordamiento del búfer basado en la pila, que puede permitir a un atacante ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2021

Vulnerabilidad en GraphHopper (CVE-2021-29506)
Fecha de publicación:
13/05/2021
Idioma:
Español
GraphHopper es un motor de enrutamiento Java de código abierto. En GraphHopper a partir de la versión 2.0 y antes de la versión 2.4, existe una vulnerabilidad de inyección de expresiones regulares que puede llevar a una denegación de servicio. Esto ha sido parcheado en las versiones 2.4 y 3.0. Vea este pull request para la corrección: https://github.com/graphhopper/graphhopper/pull/2304
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en en el sistema de infoentretenimiento MBUX en Mercedes-Benz HERMES (CVE-2021-23909)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en HERMES versión 2.1 en el sistema de infoentretenimiento MBUX de los vehículos Mercedes-Benz hasta 2021. La MCU SH2 permite la ejecución remota de código
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/05/2021

Vulnerabilidad en HERMES (CVE-2021-23910)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en HERMES versión 2.1 en el sistema de infoentretenimiento MBUX de los vehículos Mercedes-Benz hasta 2021. Hay un acceso a un array fuera de límites en RemoteDiagnosisApp
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/05/2021

Vulnerabilidad en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz (CVE-2021-23906)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz hasta 2021. No se comprueba la longitud de un mensaje en el protocolo HiQnet, lo que lleva a la ejecución remota de código
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/05/2021

Vulnerabilidad en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz (CVE-2021-23908)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz hasta 2021. Un problema de confusión de tipos afecta a MultiSvSetAttributes en el protocolo HiQnet, lo que lleva a la ejecución remota de código
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/12/2021

Vulnerabilidad en el archivo admin/user_import.php en Chamilo (CVE-2021-32925)
Fecha de publicación:
13/05/2021
Idioma:
Español
el archivo admin/user_import.php en Chamilo versión 1.11.x, lee datos XML sin deshabilitar la capacidad de cargar entidades externas
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en las acciones de webhook en Kibana (CVE-2021-22139)
Fecha de publicación:
13/05/2021
Idioma:
Español
Kibana versiones anteriores a 7.12.1, contienen una vulnerabilidad de denegación de servicio que se encontró en las acciones de webhook debido a una falta de tiempo de espera o un límite en el tamaño de la petición. Un atacante con permisos para crear acciones de webhook podría agotar el grupo de conexiones de host de Kibana, haciendo que Kibana no esté disponible para todos los demás usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2021

Vulnerabilidad en la funcionalidad beta del rastreador web en un sitemap.xml de Elastic App Search (CVE-2021-22140)
Fecha de publicación:
13/05/2021
Idioma:
Español
Elastic App Search versiones posteriores a 7.11.0 y anteriores a 7.12.0, contienen un problema de inyección de entidad externa XML (XXE) en la funcionalidad beta del rastreador web de App Search. Con este vector, un atacante cuyo sitio web está siendo rastreado por App Search podría diseñar un sitemap.xml malicioso para atravesar el sistema de archivos del host que ejecuta la instancia y obtener archivos confidenciales
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2021
Suscribirse a Vulnerabilidades