Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el envío de un mensaje en la red en el proceso httpd en el cuerpo del mensaje en TP-Link TL-WR802N (EE. UU.), Archer_C50v5_US v4_200 (CVE-2021-29302)
Fecha de publicación:
12/04/2021
Idioma:
Español
TP-Link TL-WR802N (EE. UU.), Archer_C50v5_US v4_200 versiones 2020.06 incluyéndola, contiene una vulnerabilidad de desbordamiento de búfer en el proceso httpd en el cuerpo del mensaje. El vector de ataque es: el atacante puede obtener el shell del enrutador mediante el envío de un mensaje por medio de la red, lo que puede conllevar a una ejecución de código remota
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en peticiones HTTP en el componente ECT Provider en OutSystems Platform Server (CVE-2021-29357)
Fecha de publicación:
12/04/2021
Idioma:
Español
El componente ECT Provider en OutSystems Platform Server versiones 10 anteriores a 10.0.1104.0 y versiones 11 anteriores a 11.9.0 (y la consola de administración de LifeTime versiones anteriores a 11.7.0) permite un ataque de tipo SSRF para peticiones HTTP salientes arbitrarias
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en una dirección IPv6 en el Sistema Operativo en Gargoyle (CVE-2021-23270)
Fecha de publicación:
12/04/2021
Idioma:
Español
En Gargoyle OS versión 1.12.0, cuando un IPv6 es usado, puede ocurrir un bucle de enrutamiento que genera un tráfico de red excesivo entre un dispositivo afectado y el enrutador de su ISP ascendente. Esto ocurre cuando una ruta de prefijo de enlace apunta a un enlace punto a punto, una dirección IPv6 de destino pertenece al prefijo y no es una dirección IPv6 local, y un anuncio de enrutador es recibido con al menos un prefijo IPv6 único global para el cual el flag on-link se establece
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2021

Vulnerabilidad en GetWebInfo en pyActivity en Pega Platform (CVE-2020-15390)
Fecha de publicación:
12/04/2021
Idioma:
Español
pyActivity en Pega Platform versión 8.4.0.237, tiene una configuración inapropiada de seguridad que conlleva a una vulnerabilidad de control de acceso inapropiado por medio de =GetWebInfo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/04/2021

Vulnerabilidad en la interfaz de usuario web en los productos IBM Jazz Team Server (CVE-2021-20519)
Fecha de publicación:
12/04/2021
Idioma:
Español
Los productos IBM Jazz Team Server son vulnerables a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 198441
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2021

Vulnerabilidad en la interfaz de usuario web los productos IBM Jazz Team Server (CVE-2020-4920)
Fecha de publicación:
12/04/2021
Idioma:
Español
Los productos IBM Jazz Team Server son vulnerables a un ataque de tipo cross-site scripting almacenado. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 191396
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2021

Vulnerabilidad en un mensaje personalizado en la aplicación en los productos de IBM Jazz Team Server (CVE-2020-4964)
Fecha de publicación:
12/04/2021
Idioma:
Español
Los productos de IBM Jazz Team Server contienen una vulnerabilidad no revelada que podría permitir a un usuario autenticado presentar un mensaje personalizado en la aplicación que podría ser usado para hacer un ataque de phishing a otros usuarios. IBM X-Force ID: 192419
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2021

Vulnerabilidad en los algoritmos criptográficos en los productos IBM Jazz Team Server (CVE-2020-4965)
Fecha de publicación:
12/04/2021
Idioma:
Español
Los productos IBM Jazz Team Server utilizan algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 192422
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en la capacidad de carga de archivos del navegador en Bitdefender Safepay (CVE-2020-15734)
Fecha de publicación:
12/04/2021
Idioma:
Español
Una vulnerabilidad de Error de Comprobación de Origen en Bitdefender Safepay permite a un atacante manipular la capacidad de carga de archivos del navegador para acceder a otros archivos en el mismo directorio o subdirectorios. Este problema afecta a: Bitdefender Safepay versiones anteriores a 25.0.7.29
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/04/2021

Vulnerabilidad en el uso de un parámetro de línea de comando en MongoDB Tools (CVE-2020-7924)
Fecha de publicación:
12/04/2021
Idioma:
Español
El uso de un parámetro de línea de comando específico en MongoDB Tools, que originalmente estaba destinado a omitir las comprobaciones de nombre de host, puede resultar que MongoDB omita toda la comprobación de certificados. Esto puede resultar en la aceptación de certificados no válidos. Este problema afecta a: MongoDB Inc. MongoDB Database Tools versiones 3.6 posteriores a 3.6.5; versiones 3.6 anteriores a 3.6.21; versiones 4.0 anteriores a 4.0.21; versiones 4.2 anteriores a 4.2.11; versiones 100 versiones anteriores a 100.2.0. MongoDB Inc. Mongomirror versiones 0 posteriores a 0.6.0
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/09/2024

Vulnerabilidad en Fatek Automation WinProladde (CVE-2021-27486)
Fecha de publicación:
12/04/2021
Idioma:
Español
Fatek Automation WinProladder versiones 3.30 y anteriores, es vulnerable a un subdesbordamiento de enteros, que puede causar una escritura fuera de límites y permitir a un atacante ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
22/04/2021

CVE-2021-3465
Fecha de publicación:
12/04/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades