Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el campo Symptons en el archivo patients/register-report.php en Remote Clinic (CVE-2021-30034)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0 por medio del campo Symptons en el archivo patients/register-report.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/08/2021

Vulnerabilidad en el campo "Fever" o "Blood Pressure" en el archivo patients/register-report.php en Remote Clinic (CVE-2021-30039)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0 por medio del campo "Fever" o "Blood Pressure" en el archivo patients/register-report.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/08/2021

Vulnerabilidad en el campo "Clinic Name", "Clinic Address", "Clinic City" o "Clinic Contact" en el archivo clinics/register.php en Remote Clinic (CVE-2021-30042)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0 por medio del campo "Clinic Name", "Clinic Address", "Clinic City" o "Clinic Contact" en el archivo clinics/register.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/08/2021

Vulnerabilidad en el campo First Name o Last Name en el archivo staff/register.php en Remote Clinic (CVE-2021-30044)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0, por medio del campo First Name o Last Name en el archivo staff/register.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/08/2021

Vulnerabilidad en el campo Full Name en el archivo register-patient.php en Remote Clinic (CVE-2021-30030)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0 por medio del campo Full Name en el archivo register-patient.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/08/2021

Vulnerabilidad en la API "TextResourceFactory" en los archivos con permisos abiertos en el directorio temporal del sistema en Gradle (CVE-2021-29429)
Fecha de publicación:
12/04/2021
Idioma:
Español
En Gradle versiones anteriores a 7.0, los archivos creados con permisos abiertos en el directorio temporal del sistema pueden permitir a un atacante acceder a la información descargada por Gradle. Algunas compilaciones pueden ser vulnerables a una divulgación de información local. Los archivos remotos a los que se accede por medio de TextResourceFactory son descargados primero en el directorio temporal del sistema. Información confidencial contenida en estos archivos pueden ser expuestas a otros usuarios locales en el mismo sistema. Si no usa la API "TextResourceFactory", no es vulnerable. A partir de Gradle versión 7.0, los usos del directorio temporal del sistema han sido movido al directorio Gradle User Home. Por defecto, este directorio está restringido al usuario que ejecuta la compilación. Como solución alternativa, establezca una máscara de usuario más restrictiva que elimine el acceso de lectura a otros usuarios. Cuando se crean archivos en el directorio temporal del sistema, no serán accedidos por otros usuarios. Si no puede cambiar la umask de su sistema, puede mover el directorio temporal de Java al configurar el System Property "java.io.tmpdir". La nueva ruta debe limitar los permisos solo al usuario de la compilación
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/10/2021

Vulnerabilidad en las direcciones IPv6 de transición en Synapse (CVE-2021-21392)
Fecha de publicación:
12/04/2021
Idioma:
Español
Synapse es un servidor doméstico de referencia de Matrix escrito en python (paquete pypi matrix-synapse). Matrix es un ecosistema para VoIP y mensajería instantánea federada abierta. En Synapse, versiones anteriores a 1.28.0, las peticiones a los dominios proporcionados por el usuario no estaban restringidas a direcciones IP externas cuando se usaban direcciones IPv6 de transición. Las peticiones salientes a la federación, los servidores de identidad, al calcular la validez de la clave para eventos de invitación de terceros, el envío de notificaciones push y la generación de vistas previas de URL están afectadas. Esto podría causar que Synapse realice peticiones a la infraestructura interna en redes de doble pila. Consulte el aviso de seguridad de GitHub al que se hace referencia para obtener detalles y soluciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la comprobación de entrada en algunos parámetros en los endpoints en Synapse (CVE-2021-21393)
Fecha de publicación:
12/04/2021
Idioma:
Español
Synapse es un servidor doméstico de referencia de Matrix escrito en python (paquete pypi matrix-synapse). Matrix es un ecosistema para VoIP y mensajería instantánea federada abierta. En Synapse versiones anteriores a 1.28.0. Synapse presenta una falta de comprobación de entrada de algunos parámetros en los endpoints usados para confirmar que los identificadores de terceros podrían causar un uso excesivo del espacio en disco y la memoria conllevando a un agotamiento de los recursos. Note que la funcionalidad de grupos no forma parte de la especificación de Matrix y que las longitudes máximas elegidas son arbitrarias. No todos los clientes pueden acatarlos. Consulte el aviso de seguridad de GitHub al que se hace referencia para obtener detalles adicionales, incluyendo las soluciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en SP4 en Advanced Authentication (CVE-2021-22497)
Fecha de publicación:
12/04/2021
Idioma:
Español
Advanced Authentication versiones anteriores a 6.3, SP4, presentan una posible autenticación rota debido a un problema de administración de sesión inapropiada
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un campo de texto en el editor HTML de Slab Quill (CVE-2021-3163)
Fecha de publicación:
12/04/2021
Idioma:
Español
** EN DISPUTA ** Una vulnerabilidad en el editor HTML de Slab Quill versión 4.8.0, permite a un atacante ejecutar JavaScript arbitrario almacenando una carga útil XSS (un atributo onloadstart diseñado de un elemento IMG) en un campo de texto. Nota: Los investigadores han afirmado que este problema no está dentro del propio producto, sino que es un comportamiento previsto en un navegador web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/08/2024

Vulnerabilidad en comprobación de entrada de algunos parámetros en los endpoints en Synapse de referencia de Matrix en python (CVE-2021-21394)
Fecha de publicación:
12/04/2021
Idioma:
Español
Synapse es un servidor doméstico de referencia de Matrix escrito en python (paquete pypi matrix-synapse). Matrix es un ecosistema para Mensajería Instantánea y Volp federada abierta. En Synapse anterior a versión 1.28.0 Synapse presenta una falta de comprobación de entrada de algunos parámetros en los endpoints utilizados para confirmar que identificadores de terceros podrían causar un uso excesivo del espacio en disco y la memoria conllevando a un agotamiento de los recursos. Tome en cuenta que la funcionalidad de grupos no forma parte de la especificación de Matrix y que las longitudes máximas elegidas son arbitrarias. No todos los clientes pueden acatarlos. Consulte el aviso de seguridad de GitHub al que se hace referencia para obtener detalles adicionales, incluyendo las soluciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la aplicación en Dell SRM y Dell SMR (CVE-2021-21524)
Fecha de publicación:
12/04/2021
Idioma:
Español
Dell SRM versiones anteriores a 4.5.0.1 y Dell SMR versiones anteriores a 4.5.0.1, contienen una vulnerabilidad de Deserialización No Confiable. Un atacante remoto no autenticado podría potencialmente explotar esta vulnerabilidad, conllevando una ejecución de código arbitraria privilegiada en la aplicación vulnerable. La gravedad es Crítica, ya que esto puede conllevar a comprometer el sistema por parte de atacantes no autenticados
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2021
Suscribirse a Vulnerabilidades