Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la columna "titel" en la pestaña "Eintrage hinzufugen" en el plugin Larsens Calender para WordPress (CVE-2020-23762)
Fecha de publicación:
09/04/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en el plugin Larsens Calender versiones anteriores a 1.2 incluyéndola para WordPress, permite a atacantes remotos ejecutar un script web arbitrario por medio de la columna "titel" en la pestaña "Eintrage hinzufugen"
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2021

Vulnerabilidad en la carga de un archivo de activos XML en ManageEngine ServiceDesk Plus (CVE-2021-20080)
Fecha de publicación:
09/04/2021
Idioma:
Español
Un saneamiento de salida insuficiente en ManageEngine ServiceDesk Plus versiones anteriores a 11200 y ManageEngine AssetExplorer versiones anteriores a 6800, permite a un atacante remoto no autenticado conducir ataques de tipo cross-site scripting (XSS) persistente al cargar un archivo de activos XML diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/04/2021

Vulnerabilidad en una petición HTTP en la página "access_rules/rules_form" de la Rukovoditel Project Management App (CVE-2020-13591)
Fecha de publicación:
09/04/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL explotable en la página "access_rules/rules_form" de la Rukovoditel Project Management App versión 2.7.2. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. Un atacante puede llevar a cabo una petición HTTP autenticada para desencadenar esta vulnerabilidad, esto puede ser realizado con credenciales de administrador o mediante un ataque de tipo cross-site request forgery
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2023

Vulnerabilidad en una petición HTTP en la página "global_lists/choices" de la Rukovoditel Project Management App (CVE-2020-13592)
Fecha de publicación:
09/04/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL explotable en la página "global_lists/choices" de la Rukovoditel Project Management App versión 2.7.2. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. Un atacante puede realizar una petición HTTP autenticada para desencadenar esta vulnerabilidad, esto puede ser hecho con credenciales de administrador o mediante un ataque de tipo cross-site request forgery
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2023

Vulnerabilidad en un puerto abierto por defecto en ZXA10 C300M de ZTE (CVE-2021-21728)
Fecha de publicación:
09/04/2021
Idioma:
Español
Un producto ZTE presenta una vulnerabilidad de error de configuración. Debido a que un determinado puerto está abierto por defecto, un atacante puede consumir recursos de procesamiento del sistema al descargar una gran cantidad de paquetes en el puerto, y explotar con éxito esta vulnerabilidad podría reducir las capacidades de procesamiento del sistema. Esto afecta: ZXA10 C300M todas las versiones hasta V4.3P8
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2021

Vulnerabilidad en Discord Recon Server (CVE-2021-21433)
Fecha de publicación:
09/04/2021
Idioma:
Español
Discord Recon Server, es un bot que te permite realizar tu proceso de reconocimiento desde tu Discord. Una ejecución de código remota en versión 0.0.1, permitiría a usuarios remotos ejecutar comandos en el servidor, resultando en serios problemas. Este fallo es parcheado en versión 0.0.2
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2024

Vulnerabilidad en el archivo "~/.netrc" en un mecanismo de autenticación en Vela (CVE-2021-21432)
Fecha de publicación:
09/04/2021
Idioma:
Español
Vela es un framework de Pipeline Automation (CI/CD) construido sobre la tecnología de contenedores de Linux escrita en Golang. Un mecanismo de autenticación agregado en versión 0.7.0, permite a algunos usuarios maliciosos obtener secretos usando las credenciales inyectadas dentro del archivo "~/.netrc". Consulte el Aviso de Seguridad de GitHub al que se hace referencia para obtener detalles completos. Esto es corregido en versión 0.7.5
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2022

Vulnerabilidad en el envío de una petición HTTP en SonicWall Email Security (CVE-2021-20021)
Fecha de publicación:
09/04/2021
Idioma:
Español
Una vulnerabilidad en SonicWall Email Security versión 10.0.9.x, permite a un atacante crear una cuenta administrativa mediante el envío de una petición HTTP diseñada en el host remoto
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/11/2025

Vulnerabilidad en la carga de un archivo en el host en SonicWall Email Security (CVE-2021-20022)
Fecha de publicación:
09/04/2021
Idioma:
Español
SonicWall Email Security versión 10.0.9.x, contiene una vulnerabilidad que permite a un atacante autenticado posteriormente cargar un archivo arbitrario en el host remoto
Gravedad CVSS v3.1: ALTA
Última modificación:
10/11/2025

Vulnerabilidad en una petición HTTP en la página "forms_fields_rules/rules" de la Rukovoditel Project Management App (CVE-2020-13587)
Fecha de publicación:
09/04/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL explotable en la página "forms_fields_rules/rules" de la Rukovoditel Project Management App versión 2.7.2. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. Un atacante puede realizar una petición HTTP autenticada para desencadenar esta vulnerabilidad, esto puede ser realizado con credenciales de administrador o mediante un ataque de tipo cross-site request forgery
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2023

Vulnerabilidad en la configuración predeterminada en el servicio binario Syncfusion Dashboard Service en Dream Report (CVE-2020-13532)
Fecha de publicación:
09/04/2021
Idioma:
Español
Se presenta una vulnerabilidad de escalada de privilegios en Dream Report versión 5 R20-2. En la configuración predeterminada, el servicio binario Syncfusion Dashboard Service puede ser reemplazado para escalar privilegios a NT SYSTEM. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
30/07/2022

Vulnerabilidad en COM Class Identifiers (CLSID) en Dream Report (CVE-2020-13534)
Fecha de publicación:
09/04/2021
Idioma:
Español
Se presenta una vulnerabilidad de escalada de privilegios en Dream Report versión 5 R20-2. COM Class Identifiers (CLSID), instalado por Dream Report versión 5 20-2, hace referencia a LocalServer32 e InprocServer32 con privilegios débiles que pueden conllevar a una escalada de privilegios cuando son usados. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
30/07/2022
Suscribirse a Vulnerabilidades