Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en las políticas de seguridad en SES Evolution (CVE-2021-31220)
Fecha de publicación:
13/07/2021
Idioma:
Español
SES Evolution versiones anteriores a 2.1.0, permite c al aprovechar el acceso de un usuario que tenga acceso de sólo lectura a las políticas de seguridad
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2021

Vulnerabilidad en algunas partes de una política de seguridad en SES Evolution en SES Evolution (CVE-2021-31222)
Fecha de publicación:
13/07/2021
Idioma:
Español
SES Evolution versiones anteriores a 2.1.0, permite actualizar algunas partes de una política de seguridad al aprovechar el acceso a un ordenador que tenga instalada la consola de administración
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2021

Vulnerabilidad en las rutas Universal Naming Convention (UNC) en el archivo General/TextReader/TextReader.cfm en la funcionalidad TextReader en el parámetro textFile en Echo ShareCare (CVE-2021-36123)
Fecha de publicación:
13/07/2021
Idioma:
Español
Se ha detectado un problema en Echo ShareCare versión 8.15.5. La funcionalidad TextReader en el archivo General/TextReader/TextReader.cfm es susceptible de una vulnerabilidad de inclusión de archivos locales cuando procesa la entrada remota en el parámetro textFile de un usuario autenticado, conllevando a la habilidad de leer archivos arbitrarios en los sistemas de archivos del servidor, así como cualquier archivo accesible por medio de rutas Universal Naming Convention (UNC)
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2021

Vulnerabilidad en el archivo Access/EligFeedParse_Sup/UnzipFile_Upd.cfm en la funcionalidad UnzipFile en el parámetro zippass en Echo ShareCare (CVE-2021-36122)
Fecha de publicación:
13/07/2021
Idioma:
Español
Se ha detectado un problema en Echo ShareCare versión 8.15.5. La funcionalidad UnzipFile en el archivo Access/EligFeedParse_Sup/UnzipFile_Upd.cfm es susceptible a una vulnerabilidad de inyección de argumentos de comandos cuando procesa la entrada remota en el parámetro zippass de un usuario autenticado, conllevando a la habilidad de inyectar argumentos arbitrarios a 7z.exe
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2021

Vulnerabilidad en el parámetro name1 en el archivo Access/DownloadFeed_Mnt/FileUpload_Upd.cfm en la funcionalidad file-upload en Echo ShareCare (CVE-2021-36121)
Fecha de publicación:
13/07/2021
Idioma:
Español
Se ha detectado un problema en Echo ShareCare versión 8.15.5. La funcionalidad file-upload en el archivo Access/DownloadFeed_Mnt/FileUpload_Upd.cfm es susceptible de presentar una vulnerabilidad de carga sin restricciones por medio del parámetro name1, cuando procesa la entrada remota de un usuario autenticado, conllevando a la habilidad de escribir archivos arbitrarios en ubicaciones arbitrarias del sistema de archivos a por medio de ../ Salto de Directorio en la unidad Z: (una letra de unidad embebida donde residen los archivos de la aplicación ShareCare) y una ejecución de código remota como usuario del servicio ShareCare (NT AUTHORITY\SYSTEM)
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2021

Vulnerabilidad en el procesamiento de entradas en Echo ShareCare (CVE-2021-33578)
Fecha de publicación:
13/07/2021
Idioma:
Español
Echo ShareCare versión 8.15.5, es susceptible a vulnerabilidades de inyección SQL cuando procesa entradas remotas de usuarios autenticados y no autenticados, conllevando a la habilidad de omitir la autenticación, exfiltrar registros de Structured Query Language (SQL) y manipular datos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/07/2021

Vulnerabilidad en las DLL en Stormshield Endpoint Security Evolution (CVE-2021-35957)
Fecha de publicación:
13/07/2021
Idioma:
Español
Stormshield Endpoint Security Evolution versiones 2.0.0 hasta 2.0.2, no logra la defensa prevista contra los administradores locales que pueden reemplazar las DLL de tiempo de ejecución de Visual C++ (en %WINDIR%\system32) por otras maliciosas
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2021

Vulnerabilidad en una política de seguridad en SES Evolution (CVE-2021-31224)
Fecha de publicación:
13/07/2021
Idioma:
Español
SES Evolution versiones anteriores a 2.1.0, permite duplicar una política de seguridad existente al aprovechar el acceso de un usuario con acceso de sólo lectura a las políticas de seguridad
Gravedad CVSS v3.1: BAJA
Última modificación:
15/07/2021

Vulnerabilidad en algunas partes de una política de seguridad en SES Evolution (CVE-2021-31223)
Fecha de publicación:
13/07/2021
Idioma:
Español
SES Evolution versiones anteriores a 2.1.0, permite leer algunas partes de una política de seguridad al aprovechar el acceso a un ordenador que tenga instalada la consola de administración
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/07/2021

Vulnerabilidad en el Algoritmo de Autenticación en Mitsubishi Electric Air Conditioning System/Centralized Controllers (CVE-2021-20593)
Fecha de publicación:
13/07/2021
Idioma:
Español
Una Implementación Incorrecta del Algoritmo de Autenticación en Mitsubishi Electric Air Conditioning System/Centralized Controllers versiones: (G-50A Versiones.2.50 hasta Versiones. 3.35, GB-50A Versiones.2.50 hasta Versiones. 3.35, AG-150A-A Ver.3.20 y anteriores, AG-150A-J Ver.3.20 y anteriores, GB-50ADA-A Versiones.3.20 y anteriores, GB-50ADA-J Versiones.3 .20 y anteriores, EB-50GU-A Versiones 7.09 y anteriores, EB-50GU-J Versiones 7.09 y anteriores, AE-200A Versiones 7.93 y anteriores, AE-200E Versiones 7.93 y anteriores, AE-50A Versiones 7.93 y anteriores, AE-50E Versiones 7.93 y anteriores, EW-50A Versiones 7.93 y anteriores, EW-50E Versiones 7.93 y anteriores, TE-200A Versiones 7.93 y anteriores, TE-50A Versiones 7.93 y anteriores, TW-50A Versiones 7.93 y anteriores, CMS-RMD-J Versiones.1 .30 y anteriores) y los Controladores del Air Conditioning System/Expansion (PAC-YG50ECA Versiones .2.20 y anteriores) permiten a un atacante remoto autenticado hacerse pasar por administrador para divulgar información de configuración del sistema de aire acondicionado e información de manipulación (por ejemplo, información de funcionamiento y configuración del sistema de aire acondicionado) al explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2021

Vulnerabilidad en la consola de administración en SES Evolution (CVE-2021-31225)
Fecha de publicación:
13/07/2021
Idioma:
Español
SES Evolution versiones anteriores a 2.1.0, permite borrar algunos recursos que no están en uso por ninguna política de seguridad al aprovechar el acceso a un ordenador que tenga instalada la consola de administración
Gravedad CVSS v3.1: ALTA
Última modificación:
15/07/2021

Vulnerabilidad en dandavison delta en Windows (CVE-2021-36376)
Fecha de publicación:
13/07/2021
Idioma:
Español
dandavison delta versiones anteriores a 0.8.3 en Windows, resuelve el nombre de la ruta de un ejecutable como una ruta relativa desde el directorio actual
Gravedad CVSS v3.1: ALTA
Última modificación:
16/07/2021
Suscribirse a Vulnerabilidades