Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un flujo de datos en el servicio MU55 FlexiSpooler en YSoft SafeQ (CVE-2021-31859)
Fecha de publicación:
14/07/2021
Idioma:
Español
Unos privilegios incorrectos en el servicio MU55 FlexiSpooler en YSoft SafeQ versión 6 6.0.55, permite una escalada de privilegios de usuario local al sobreescribir el archivo ejecutable por medio de un flujo de datos alternativo
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en un encabezado Content-Length para una petición POST en Varnish Cache (CVE-2021-36740)
Fecha de publicación:
14/07/2021
Idioma:
Español
Varnish Cache, con HTTP/2 habilitado, permite el contrabando de peticiones y la omisión de autorización de VCL por medio de un encabezado Content-Length grande para una petición POST. Esto afecta a Varnish Enterprise versiones 6.0.x anteriores a 6.0.8r3, y Varnish Cache versiones 5.xy 6.x anteriores a 6.5.2, versiones 6.6.x anteriores a 6.6.1 y versiones 6.0 LTS anteriores a 6.0.8
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en una carga útil en el archivo index.php en el campo X-Fordered-Forde Wayang-CMS (CVE-2020-29146)
Fecha de publicación:
14/07/2021
Idioma:
Español
Una vulnerabilidad de tipo cross site scripting (XSS) en el archivo index.php de Wayang-CMS versión v1.0, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil creada al añadir el campo X-Fordered-For al encabezado
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2024

Vulnerabilidad en el archivo wy_side_visitor.php en la función wy_controlls/ en Wayang-CMS (CVE-2020-29147)
Fecha de publicación:
14/07/2021
Idioma:
Español
Una vulnerabilidad de inyección SQL en la función wy_controlls/ en el archivo wy_side_visitor.php de Wayang-CMS versión v1.0, permite a atacantes obtener información confidencial de la base de datos
Gravedad CVSS v3.1: ALTA
Última modificación:
14/02/2024

Vulnerabilidad en el parámetro integral_min en el archivo index.php enECTouch (CVE-2020-18144)
Fecha de publicación:
14/07/2021
Idioma:
Español
Una vulnerabilidad de inyección SQL en ECTouch versión v2, por medio del parámetro integral_min en el archivo index.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/07/2021

Vulnerabilidad en el nombre del archivo en el paquete elFinder.Net.Core (CVE-2021-23407)
Fecha de publicación:
14/07/2021
Idioma:
Español
Esto afecta al paquete elFinder.Net.Core desde versiones 0 y anteriores a 1.2.4. El nombre del archivo controlado por el usuario no es saneado apropiadamente antes de ser usado para crear una ruta del sistema de archivos
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2021

Vulnerabilidad en la función isEmail(input) en el paquete is-email de Segment para Node.js (CVE-2021-36716)
Fecha de publicación:
14/07/2021
Idioma:
Español
Se ha encontrado un fallo ReDoS (Denegación de Servicio por expresión regular) en el paquete is-email de Segment versiones anteriores a 1.0.1 para Node.js. Un atacante que es capaz de proporcionar una entrada diseñada a la función isEmail(input) puede causar a una aplicación consumir una cantidad excesiva de CPU
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2022

Vulnerabilidad en el ID de correo electrónico del usuario en Booking Core - Ultimate Booking System Booking Core (CVE-2020-27379)
Fecha de publicación:
14/07/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en Booking Core - Ultimate Booking System Booking Core versión 1.7.0. El token CSRF no esta siendo comprobado cuando la petición es enviada como método GET. Esto resulta en un cambio no autorizado en el ID de correo electrónico del usuario, que posteriormente puede ser usado para restablecer la contraseña. La nueva contraseña se enviará a un ID de correo electrónico modificado
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la funcionalidad "Subscribe" en Booking Core - Ultimate Booking System Booking Core (CVE-2020-25445)
Fecha de publicación:
14/07/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Booking Core - Ultimate Booking System Booking Core versión 1.7.0. La funcionalidad "Subscribe" de la aplicación es vulnerable a una inyección de fórmulas CSV. La entrada conteniendo la fórmula de Excel no está siendo saneada por la aplicación. Como resultado, cuando un administrador en el backend descarga y abre el CSV, el contenido de las celdas es ejecutado. Campos vulnerables: Nombre y Apellido de la petición "Subscribe"
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la comunicación Modbus en EcoStruxure Control Expert, EcoStruxure Process Expert, SCADAPack RemoteConnect for x70, Modicon M580 CPU, Modicon M340 CPU (CVE-2021-22779)
Fecha de publicación:
14/07/2021
Idioma:
Español
Se presenta una vulnerabilidad de Omisión de Autenticación por Spoofing en EcoStruxure Control Expert (todas las versiones anteriores a V15.0 SP1, incluyendo todas las versiones de Unity Pro), EcoStruxure Control Expert versión V15.0 SP1, EcoStruxure Process Expert (todas las versiones, incluyendo todas las versiones de EcoStruxure Hybrid DCS), SCADAPack RemoteConnect for x70 (todas las versiones), Modicon M580 CPU (todas las versiones - números de parte BMEP* y BMEH*), Modicon M340 CPU (todas las versiones - números de parte BMXP34*), que podría causar un acceso no autorizado en modo de lectura y escritura al controlador mediante el spoofing de la comunicación Modbus entre el software de ingeniería y el controlador
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/07/2021

Vulnerabilidad en un archivo de proyecto en EcoStruxure Control Expert, EcoStruxure Process Expert y SCADAPack RemoteConnect for x70 (CVE-2021-22778)
Fecha de publicación:
14/07/2021
Idioma:
Español
Se presenta una vulnerabilidad de credenciales insuficientemente protegidas en EcoStruxure Control Expert (todas las versiones anteriores a V15.0 SP1, incluyéndo todas las versiones de Unity Pro), EcoStruxure Process Expert (todas las versiones, incluyéndo todas las versiones de EcoStruxure Hybrid DCS) y SCADAPack RemoteConnect for x70, todas las versiones, que podría causar una lectura o modificación de bloques de función derivados protegidos por parte de usuarios no autorizados cuando se accede a un archivo de proyecto
Gravedad CVSS v3.1: ALTA
Última modificación:
26/07/2021

Vulnerabilidad en un archivo de proyecto en EcoStruxure Control Expert, EcoStruxure Process Expert y SCADAPack RemoteConnect for x70 (CVE-2021-22782)
Fecha de publicación:
14/07/2021
Idioma:
Español
Se presenta una vulnerabilidad de falta de encriptación de datos confidenciales en EcoStruxure Control Expert (todas las versiones anteriores a V15.0 SP1, incluyendo todas las versiones de Unity Pro), EcoStruxure Process Expert (todas las versiones, incluyendo todas las versiones de EcoStruxure Hybrid DCS), y SCADAPack RemoteConnect for x70, todas las versiones, que podría causar una filtración de información permitiendo la divulgación de información de red y de proceso, credenciales o propiedad intelectual cuando un atacante puede acceder a un archivo de proyecto
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/07/2021
Suscribirse a Vulnerabilidades