Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el registro de auditoría y la opción emit_request_body en Elasticsearch (CVE-2020-7021)
Fecha de publicación:
10/02/2021
Idioma:
Español
Las versiones de Elasticsearch versiones anteriores a 7.10.0 y 6.8.14, presentan un problema de divulgación de información cuando se habilita el registro de auditoría y la opción emit_request_body. El registro de auditoría de Elasticsearch podría contener información confidencial como un hash de contraseña o tokens de autenticación. Esto podría permitir a un administrador de Elasticsearch visualizar estos detalles
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2021

Vulnerabilidad en la configuración setuid-root en el programa replay-sorcery en ReplaySorcery (CVE-2021-26936)
Fecha de publicación:
10/02/2021
Idioma:
Español
El programa replay-sorcery en ReplaySorcery versiones 0.4.0 hasta 0.5.0, cuando se usa la configuración setuid-root predeterminada, permite a un atacante local escalar privilegios a root al especificar rutas de salida de video en ubicaciones privilegiadas
Gravedad CVSS v3.1: ALTA
Última modificación:
16/02/2021

Vulnerabilidad en comprobación de firmas en la autenticación SAML en la consola Prisma Cloud Compute de Palo Alto Networks (CVE-2021-3033)
Fecha de publicación:
10/02/2021
Idioma:
Español
Se presenta una verificación inapropiada de la vulnerabilidad de la firma criptográfica en la consola Prisma Cloud Compute de Palo Alto Networks. Esta vulnerabilidad permite a un atacante omitir una comprobación de firmas durante la autenticación SAML iniciando sesión en la consola de Prisma Cloud Compute como cualquier usuario autorizado. Este problema afecta: todas las versiones de Prisma Cloud Compute 19.11, Prisma Cloud Compute 20.04 y Prisma Cloud Compute 20.09; Prisma Cloud Compute 20.12 anterior del update 1. La versión de Prisma Cloud Compute SaaS no está afectada por esta vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
17/02/2021

Vulnerabilidad en el chat en vivo en línea en henriquedornas (CVE-2021-26938)
Fecha de publicación:
10/02/2021
Idioma:
Español
** EN DISPUTA ** Se presenta un problema de tipo XSS almacenado en henriquedornas versión 5.2.17, por medio del chat en vivo en línea. NOTA: Terceros informan que no existe tal producto. Que henriquedornas es la agencia de diseño web y que 5.2.17 es simplemente la versión de PHP que se ejecuta en este alojamiento
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/08/2024

Vulnerabilidad en el contenido SQL de phpMyAdmin en henriquedornas (CVE-2021-26939)
Fecha de publicación:
10/02/2021
Idioma:
Español
** EN DISPUTA ** Se presenta problema de divulgación de información en henriquedornas versión 5.2.17, porque un atacante puede volcar contenido SQL de phpMyAdmin. NOTA: terceros informan de que se trata de un problema específico del lugar
Gravedad CVSS v3.1: ALTA
Última modificación:
03/08/2024

Vulnerabilidad en los clientes de servidores FTP en máquinas Windows en ftp-srv (CVE-2020-26299)
Fecha de publicación:
10/02/2021
Idioma:
Español
ftp-srv es un servidor FTP de código abierto diseñado para ser simple pero configurable. En ftp-srv versiones anteriores a 4.4.0, se presenta una vulnerabilidad de salto de ruta. Los clientes de servidores FTP que utilizan ftp-srv alojado en máquinas Windows pueden escapar de la carpeta root definida por el usuario FTP utilizando los comandos FTP previstos, por ejemplo, CWD y UPDR. Cuando contienen separadores de ventanas dentro de la ruta ("\"), "path.resolve" deja intactos los punteros superiores y permite al usuario moverse más allá de la carpeta root definida para ese usuario. No lo tomamos en cuenta al crear la función de resolución de ruta. El problema está parcheado en la versión 4.4.0 (commit 457b859450a37cba10ff3c431eb4aa67771122e3)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/02/2021

Vulnerabilidad en el archivo OkHostnameVerifier.java en la función verifyHostName en Android (CVE-2021-0341)
Fecha de publicación:
10/02/2021
Idioma:
Español
En la función verifyHostName del archivo OkHostnameVerifier.java, existe una forma posible de aceptar un certificado para el dominio incorrecto debido a un uso de criptografía inapropiada. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.1 Android-9 Android-10 Android-11, ID de Android: A-171980069
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2021

Vulnerabilidad en el procesamiento de datos XML en IBM WebSphere Application Server (CVE-2021-20353)
Fecha de publicación:
10/02/2021
Idioma:
Español
IBM WebSphere Application Server versiones 7.0, 8.0, 8.5 y 9.0, es vulnerable a un ataque de inyección de entidad externa XML (XXE) al procesar datos XML. Un atacante remoto podría explotar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. IBM X-Force ID: 194882
Gravedad CVSS v3.1: ALTA
Última modificación:
11/02/2021

Vulnerabilidad en el archivo WindowContainer.java en la función loadAnimation en Android (CVE-2021-0339)
Fecha de publicación:
10/02/2021
Idioma:
Español
En la función loadAnimation del archivo WindowContainer.java, existe una forma posible de seguir mostrando una aplicación maliciosa mientras una aplicación de destino pasa a primer plano. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10 Android-8.1 Android-9, ID de Android: A-145728687
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2021

Vulnerabilidad en el archivo IsoInterface.java en la función parseNextBox en Android (CVE-2021-0340)
Fecha de publicación:
10/02/2021
Idioma:
Español
En la función parseNextBox del archivo IsoInterface.java, se presenta un posible filtrado de información de ubicación no redactada debido a una comprobación inapropiada de la entrada. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-134155286
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2021

Vulnerabilidad en el archivo FileSystemProvider.java en la función moveInMediaStore en Android (CVE-2021-0337)
Fecha de publicación:
10/02/2021
Idioma:
Español
En la función moveInMediaStore del archivo FileSystemProvider.java, se presenta una posible exposición de archivos debido a metadatos obsoletos. Esto podría conllevar a una escalada de privilegios local con los privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.1 Android-9 Android-10 Android-11, ID de Android: A-157474195
Gravedad CVSS v3.1: ALTA
Última modificación:
12/02/2021

Vulnerabilidad en la función SystemSettingsValidators en la configuración de la Interfaz de Usuario en Android (CVE-2021-0338)
Fecha de publicación:
10/02/2021
Idioma:
Español
En la función SystemSettingsValidators, se presenta una posible denegación de servicio permanente debido a una falta de comprobación de límites en la configuración de la Interfaz de Usuario. Esto podría conllevar a una denegación de servicio local con los privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10 Android-11, ID de Android: A-156260178
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022
Suscribirse a Vulnerabilidades