Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un archivo de proyecto en EcoStruxure Control Expert, EcoStruxure Process Expert y SCADAPack RemoteConnect for x70 (CVE-2021-22782)
Fecha de publicación:
14/07/2021
Idioma:
Español
Se presenta una vulnerabilidad de falta de encriptación de datos confidenciales en EcoStruxure Control Expert (todas las versiones anteriores a V15.0 SP1, incluyendo todas las versiones de Unity Pro), EcoStruxure Process Expert (todas las versiones, incluyendo todas las versiones de EcoStruxure Hybrid DCS), y SCADAPack RemoteConnect for x70, todas las versiones, que podría causar una filtración de información permitiendo la divulgación de información de red y de proceso, credenciales o propiedad intelectual cuando un atacante puede acceder a un archivo de proyecto
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/07/2021

Vulnerabilidad en un archivo de proyecto en EcoStruxure Control Expert, EcoStruxure Process Expert y SCADAPack RemoteConnect for x70 (CVE-2021-22781)
Fecha de publicación:
14/07/2021
Idioma:
Español
Se presenta una vulnerabilidad de credenciales insuficientemente protegidas en EcoStruxure Control Expert (todas las versiones anteriores a V15.0 SP1, incluidas todas las versiones de Unity Pro), EcoStruxure Process Expert (todas las versiones, incluidas todas las versiones de EcoStruxure Hybrid DCS) y SCADAPack RemoteConnect for x70, todas las versiones, que podría causar una filtración de credenciales SMTP usadas para la autenticación del buzón cuando un atacante puede acceder a un archivo de proyecto
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/07/2021

Vulnerabilidad en un archivo de proyecto en EcoStruxure Control Expert, EcoStruxure Process Expert y SCADAPack RemoteConnect for x70 (CVE-2021-22780)
Fecha de publicación:
14/07/2021
Idioma:
Español
Se presenta una vulnerabilidad de Credenciales Insuficientemente Protegidas en EcoStruxure Control Expert (todas las versiones anteriores a V15.0 SP1, incluyendo todas las versiones de Unity Pro), EcoStruxure Process Expert (todas las versiones, incluyendo todas las versiones de EcoStruxure Hybrid DCS), y SCADAPack RemoteConnect for x70, todas las versiones, que podría causar un acceso no autorizado a un archivo de proyecto protegido por una contraseña cuando este archivo se comparte con fuentes no confiables. Un atacante podría omitir la protección por contraseña y ser capaz de visualizar y modificar un archivo de proyecto
Gravedad CVSS v3.1: ALTA
Última modificación:
26/07/2021

Vulnerabilidad en múltiples secciones en Booking Core - Ultimate Booking System Booking Core (CVE-2020-25444)
Fecha de publicación:
14/07/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Booking Core - Ultimate Booking System Booking Core versión 1.7.0, por medio de la sección (1) "About Yourself" en la página "My Profile", " (2) campo "Hotel Policy" en la página "Hotel Details", (3) campos "Pricing code" y "name" en la página "Manage Tour", y (4) todas las etiquetas en la sección "Menu"
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en un acceso local en la funcionalidad Intel BSSA DFT (CVE-2021-0144)
Fecha de publicación:
14/07/2021
Idioma:
Español
Una inicialización no segura de variables predeterminadas para la funcionalidad Intel BSSA DFT puede permitir a un usuario con privilegios habilitar potencialmente una escalada de privilegios por medio de acceso local
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/02/2022

Vulnerabilidad en el archivo PermissionManagerService.java en la función onPackageAddedInternal en Android (CVE-2021-0486)
Fecha de publicación:
14/07/2021
Idioma:
Español
En la función onPackageAddedInternal del archivo PermissionManagerService.java, se presenta un posible acceso al almacenamiento externo debido a una omisión de permisos. Esto podría conllevar a una escalada local de privilegios con privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10 Android-11, ID de Android: A-171430330
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2021

Vulnerabilidad en el archivo PermissionActivity.java en la función onCreate en Android (CVE-2021-0441)
Fecha de publicación:
14/07/2021
Idioma:
Español
En la función onCreate del archivo PermissionActivity.java, se presenta una posible derivación de permisos debido a una Interfaz de Usuario Confusa. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-174495520
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2021

Vulnerabilidad en varias funciones de la biblioteca V8 en Android (CVE-2021-0514)
Fecha de publicación:
14/07/2021
Idioma:
Español
En varias funciones de la biblioteca V8, se presenta un posible uso de memoria previamente liberada debido a una condición de carrera. Esto podría conllevar a una ejecución de código remota en un proceso no privilegiado, sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10 Android-9 Android-11 Android-8.1, ID de Android: A-162604069
Gravedad CVSS v3.1: ALTA
Última modificación:
16/07/2021

Vulnerabilidad en el archivo MessageQueueBase.h en las funciones beginWrite y beginRead en Android (CVE-2021-0585)
Fecha de publicación:
14/07/2021
Idioma:
Español
En las funciones beginWrite y beginRead del archivo MessageQueueBase.h, se presenta una posible escritura fuera de límites debido a una comprobación inapropiada de entrada. Esto podría conllevar a una escalada de privilegios local con privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.1 Android-9 Android-10 Android-11, ID de Android: A-184963385
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2021

Vulnerabilidad en el archivo StreamOut.cpp en la función StreamOut::prepareForWriting en Android (CVE-2021-0587)
Fecha de publicación:
14/07/2021
Idioma:
Español
En la función StreamOut::prepareForWriting del archivo StreamOut.cpp, se presenta una posible escritura fuera de límites debido a un uso de memoria previamente liberada. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.1 Android-9 Android-10 Android-11, ID de Android: A-185259758
Gravedad CVSS v3.1: ALTA
Última modificación:
16/07/2021

Vulnerabilidad en el archivo BluetoothOppSendFileInfo.java en la función generateFileInfo en Android (CVE-2021-0604)
Fecha de publicación:
14/07/2021
Idioma:
Español
En la función generateFileInfo del archivo BluetoothOppSendFileInfo.java, se presenta una posible manera de compartir archivos privados a través de Bluetooth debido a un problema de tipo confused deputy. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-9 Android-10 Android-11 Android-8.1, ID de Android: A-179910660
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2021

Vulnerabilidad en una imagen SVG en la funcionalidad "View in Browser" de Elements-IT HTTP Commander (CVE-2021-33212)
Fecha de publicación:
14/07/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross-site scripting (XSS) en la funcionalidad "View in Browser" de Elements-IT HTTP Commander versión 5.3.3, permite a usuarios autenticados remoto inyectar script web o HTML arbitrario por medio de una imagen SVG diseñada
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2021
Suscribirse a Vulnerabilidades