Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función pcre_compile() en privoxy (CVE-2021-20276)
Fecha de publicación:
09/03/2021
Idioma:
Español
Se encontró un fallo en privoxy versiones anteriores a 3.0.32. Un acceso a la memoria no válido con un patrón no válido pasado a la función pcre_compile() puede conllevar a una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2022

Vulnerabilidad en la función chunked_body_is_complete() en privoxy (CVE-2021-20275)
Fecha de publicación:
09/03/2021
Idioma:
Español
Se encontró un fallo en privoxy versiones anteriores a 3.0.32. Una lectura no válida de tamaño dos puede ocurrir en la función chunked_body_is_complete() conllevando a una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
05/08/2022

Vulnerabilidad en una petición CGI en privoxy (CVE-2021-20272)
Fecha de publicación:
09/03/2021
Idioma:
Español
Se encontró un fallo en privoxy versiones anteriores a 3.0.32. Se podría desencadenar un fallo de aserción con una petición CGI diseñada conllevando a un bloqueo del servidor
Gravedad CVSS v3.1: ALTA
Última modificación:
07/12/2021

Vulnerabilidad en una petición CGI en privoxy (CVE-2021-20273)
Fecha de publicación:
09/03/2021
Idioma:
Español
Se encontró un fallo en privoxy versiones anteriores a 3.0.32. Se puede presentar un bloqueo por medio de una petición CGI diseñada si Privoxy está desactivado
Gravedad CVSS v3.1: ALTA
Última modificación:
08/12/2021

Vulnerabilidad en el servidor socks en privoxy (CVE-2021-20274)
Fecha de publicación:
09/03/2021
Idioma:
Español
Se encontró un fallo en privoxy versiones anteriores a 3.0.32. Puede ocurrir un bloqueo debido a una desreferencia del puntero NULL cuando el servidor socks se comporta inapropiadamente
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2021

Vulnerabilidad en getProcessForPort en react-dev-utils (CVE-2021-24033)
Fecha de publicación:
09/03/2021
Idioma:
Español
react-dev-utils anterior a versión v11.0.4, expone una función, getProcessForPort, donde un argumento de entrada se concatena en una cadena de comando para ser ejecutado. Esta función se usa generalmente desde react-scripts (en los proyectos de Create React App), donde el uso es seguro. Solo cuando esta función se invoca manualmente con valores proporcionados por el usuario (es decir, mediante código personalizado) existe la posibilidad de inyección de comandos. Si lo consume desde react-scripts, este problema no le afecta
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2021

Vulnerabilidad en el plugin de Gradle "com.bmuschko: gradle-vagrant-plugin" (CVE-2021-21361)
Fecha de publicación:
09/03/2021
Idioma:
Español
El plugin de Gradle "com.bmuschko: gradle-vagrant-plugin" contiene una vulnerabilidad de divulgación de información debido al registro de las variables de entorno del sistema. Cuando este plugin de Gradle se ejecuta en CI/CD público, esto puede conllevar a que las credenciales confidenciales se expongan a actores maliciosos. Esto se corrige en la versión 3.0.0
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/03/2021

Vulnerabilidad en Generic Setup Tool en Products.GenericSetup (CVE-2021-21360)
Fecha de publicación:
09/03/2021
Idioma:
Español
Products.GenericSetup es un mini framework para expresar el estado configurado de un sitio Zope como un conjunto de artefactos del sistema de archivos. En Products.GenericSetup anterior a versión 2.1.1, se presenta una vulnerabilidad de divulgación de información: los visitantes anónimos pueden visualizar archivos de registro e instantáneas generadas por la Generic Setup Tool. El problema se ha corregido en la versión 2.1.1. Dependiendo de cómo haya instalado Products.GenericSetup, debe cambiar el pin de la versión de compilación a 2.1.1 y volver a ejecutar la compilación, o si usó pip simplemente haga la instalación de pip "Products.GenericSetup versiones posteriores o iguales a 2.1.1"`
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/01/2022

Vulnerabilidad en valores de encabezado "Host" en Dell iDRAC8 (CVE-2021-21510)
Fecha de publicación:
08/03/2021
Idioma:
Español
Dell iDRAC8 versiones anteriores a 2.75.100.75, contienen una vulnerabilidad de inyección de encabezado host. Un atacante remoto no autenticado podría explotar esta vulnerabilidad inyectando valores de encabezado "Host" arbitrarios para envenenar una caché web o desencadenar redireccionamientos
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/10/2022

Vulnerabilidad en el usuario de Compadmin en PowerScale OneFS (CVE-2021-21503)
Fecha de publicación:
08/03/2021
Idioma:
Español
PowerScale OneFS versiones 8.1.2, 8.2.2 y 9.1.0, contiene un problema de saneamiento de entrada inapropiado en un comando. El usuario de Compadmin podría aprovechar esta vulnerabilidad, conllevando a una posible escalada de privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2021

Vulnerabilidad en su controlador de API en los privilegios ISI_PRIV_SYS_SUPPORT e ISI_PRIV_LOGIN_PAPI en PowerScale OneFS (CVE-2021-21506)
Fecha de publicación:
08/03/2021
Idioma:
Español
PowerScale OneFS versiones 8.1.2, 8.2.2 y 9.1.0, contiene un problema de saneamiento de entrada inapropiado en su controlador de API. Un usuario sin autorización con privilegios ISI_PRIV_SYS_SUPPORT e ISI_PRIV_LOGIN_PAPI podría explotar esta vulnerabilidad, conllevando una posible escalada de privilegios
Gravedad CVSS v3.1: ALTA
Última modificación:
12/03/2021

Vulnerabilidad en el endpoint de registro de clientes en keycloak (CVE-2020-27838)
Fecha de publicación:
08/03/2021
Idioma:
Español
Se encontró un fallo en keycloak en versiones anteriores a 13.0.0. El endpoint de registro de clientes permite obtener información sobre clientes PÚBLICOS (como el secreto del cliente) sin autenticación, lo que podría ser un problema si el mismo cliente PÚBLICO cambiara a CONFIDENCIAL más adelante. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/03/2021
Suscribirse a Vulnerabilidades