Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el contenido del directorio de aplicaciones web en Eclipse Jetty (CVE-2021-28163)
Fecha de publicación:
01/04/2021
Idioma:
Español
En Eclipse Jetty versiones 9.4.32 hasta 9.4.38, versiones 10.0.0.beta2 hasta 10.0.1 y versiones 11.0.0.beta2 hasta 11.0.1, si un usuario usa un directorio de aplicaciones web que es un enlace simbólico, el contenido del directorio de aplicaciones web se implementa como una aplicación web estática, sin darse cuenta, sirviendo las aplicaciones web en sí y cualquier otra cosa que pueda estar en ese directorio.
Gravedad CVSS v3.1: BAJA
Última modificación:
07/11/2023

Vulnerabilidad en el directorio WEB-INF en Eclipse Jetty (CVE-2021-28164)
Fecha de publicación:
01/04/2021
Idioma:
Español
En Eclipse Jetty versiones 9.4.37.v20210219 hasta 9.4.38.v20210224, el modo de cumplimiento predeterminado permite a unas peticiones con URI que contienen segmentos %2e o %2e%2e acceder a recursos protegidos dentro del directorio WEB-INF. Por ejemplo, una petición a /context/%2e/WEB-INF/web.xml puede recuperar el archivo web.xml. Esto puede divulgar información confidencial sobre la implementación de una aplicación web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en una gran trama TLS en Eclipse Jetty (CVE-2021-28165)
Fecha de publicación:
01/04/2021
Idioma:
Español
En Eclipse Jetty versiones 7.2.2 hasta 9.4.38, versiones 10.0.0.alpha0 hasta 10.0.1 y versiones 11.0.0.alpha0 hasta 11.0.1, el uso de CPU puede alcanzar el 100% al recibir una gran trama TLS no válida.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/08/2025

Vulnerabilidad en el comando gitlab-shell en GitLab CE/EE (CVE-2021-22177)
Fecha de publicación:
01/04/2021
Idioma:
Español
Se identificó una DoS potencial en gitlab-shell en GitLab CE/EE versiones 12.6.0 o superiores, lo que permite a un atacante aumentar la utilización de recursos del servidor por medio del comando gitlab-shell.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/04/2021

Vulnerabilidad en mensajes de error en postgresql (CVE-2021-3393)
Fecha de publicación:
01/04/2021
Idioma:
Español
Se detectó un filtrado de información en postgresql en versiones anteriores a 13.2, versiones anteriores a 12.6 y versiones anteriores a 11.11. Un usuario que tenga el permiso UPDATE pero no el permiso SELECT para una columna en particular podría diseñar consultas que, en algunas circunstancias, podrían divulgar valores de esa columna en mensajes de error. Un atacante podría usar este fallo para obtener información almacenada en una columna que puede escribir pero no leer.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2021

Vulnerabilidad en el archivo src/decoder_allocators.hpp en la autenticación CURVE/ZAP en el servidor zeromq (CVE-2021-20235)
Fecha de publicación:
01/04/2021
Idioma:
Español
Se presenta un fallo en el servidor zeromq en versiones anteriores a 4.3.3, en el archivo src/decoder_allocators.hpp. Se podría cambiar el tamaño del asignador estático del decodificador, pero el búfer permanecería igual, ya que es un búfer estático. Un atacante no autenticado remoto que envía una petición diseñada al servidor zeromq podría desencadenar un desbordamiento del búfer WRITE de datos arbitrarios si la autenticación CURVE/ZAP no está habilitada. El mayor impacto de este fallo es la disponibilidad de la aplicación, la integridad de los datos y la confidencialidad.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo src/pipe.cpp en el cliente ZeroMQ (CVE-2021-20234)
Fecha de publicación:
01/04/2021
Idioma:
Español
Se encontró un fallo de consumo de recursos no controlado (pérdida de la memoria) en el cliente ZeroMQ en versiones anteriores a 4.3.3, en el archivo src/pipe.cpp. Este problema causa que un cliente que se conecta a múltiples servidores maliciosos o comprometidos se bloquee. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/08/2022

Vulnerabilidad en la funcionalidad de decompresión Dwa de la biblioteca IlmImf de OpenEXR (CVE-2021-20296)
Fecha de publicación:
01/04/2021
Idioma:
Español
Se encontró un fallo en OpenEXR en versiones anteriores a 3.0.0-beta. Un archivo de entrada diseñado proporcionado por un atacante, que es procesado por la funcionalidad de decompresión Dwa de la biblioteca IlmImf de OpenEXR, podría causar una desreferencia del puntero NULL. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema.
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/12/2022

Vulnerabilidad en una comprobación de integridad en Acrobat Reader DC (CVE-2021-28546)
Fecha de publicación:
01/04/2021
Idioma:
Español
Acrobat Reader DC versiones 2020.013.20074 (y anteriores), versiones 2020.001.30018 (y anteriores) y versiones 2017.011.30188 (y anteriores), carecen de compatibilidad con una comprobación de integridad. Un atacante no autentificado podría aprovechar esta vulnerabilidad para modificar el contenido de un PDF certificado sin invalidar la certificación. Una explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir el archivo manipulado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en una comprobación de integridad en Acrobat Reader DC (CVE-2021-28545)
Fecha de publicación:
01/04/2021
Idioma:
Español
Las versiones de Acrobat Reader DC 2020.013.20074 (y anteriores), 2020.001.30018 (y anteriores) y 2017.011.30188 (y anteriores) carecen de soporte para una comprobación de integridad. Un atacante no autentificado podría manipular completamente los datos de un PDF certificado sin invalidar la certificación original. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir el archivo manipulado
Gravedad CVSS v3.1: ALTA
Última modificación:
08/09/2021

Vulnerabilidad en cadenas octales en el paquete netmask npm (CVE-2021-28918)
Fecha de publicación:
01/04/2021
Idioma:
Español
Una comprobación inapropiada de entrada de cadenas octales en el paquete netmask npm versiones v1.0.6 y anteriores, permite a atacantes remotos no autenticados llevar a cabo ataques de tipo SSRF, RFI y LFI indeterminados en muchos de los paquetes dependientes. Un atacante remoto no autenticado puede omitir unos paquetes que dependen de la máscara de red para filtrar las direcciones IP y llegar a hosts críticos de VPN o LAN.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en el parámetro realname en SYNO.Core.Network.PPPoE en Synology DiskStation Manager (DSM) (CVE-2021-29083)
Fecha de publicación:
01/04/2021
Idioma:
Español
Una neutralización inapropiada de elementos especiales usados en un comando del Sistema Operativo en SYNO.Core.Network.PPPoE en Synology DiskStation Manager (DSM) versiones anteriores a 6.2.3-25426-3, permite a usuarios autenticados remotos ejecutar código arbitrario por medio del parámetro realname.
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2025
Suscribirse a Vulnerabilidades