Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función delsolrecordedvideo_func en spx_restservice en Baseboard Management Controller (BMC) en diversos productos de HPE (CVE-2021-25125)
Fecha de publicación:
29/01/2021
Idioma:
Español
El Baseboard Management Controller (BMC) en HPE Cloudline CL5800 Gen9 Server; HPE Cloudline CL5200 Gen9 Server; HPE Cloudline CL4100 Gen10 Server; HPE Cloudline CL3100 Gen10 Server; HPE Cloudline CL5800 Gen10 Server, el firmware de BMC presenta una vulnerabilidad de salto de ruta local en la función delsolrecordedvideo_func de spx_restservice
Gravedad CVSS v3.1: ALTA
Última modificación:
30/01/2021

Vulnerabilidad en la función deletevideo_func en spx_restservice en Baseboard Management Controller (BMC) en diversos productos de HPE (CVE-2021-25124)
Fecha de publicación:
29/01/2021
Idioma:
Español
El Baseboard Management Controller (BMC) en HPE Cloudline CL5800 Gen9 Server; HPE Cloudline CL5200 Gen9 Server; HPE Cloudline CL4100 Gen10 Server; HPE Cloudline CL3100 Gen10 Server; HPE Cloudline CL5800 Gen10 Server, el firmware de BMC presenta una vulnerabilidad de salto de ruta local en la función deletevideo_func de spx_restservice
Gravedad CVSS v3.1: ALTA
Última modificación:
30/01/2021

Vulnerabilidad en el parámetro "dashboardXml" en el Dashboard Editor en Hitachi Vantara Pentaho (CVE-2020-24665)
Fecha de publicación:
29/01/2021
Idioma:
Español
El Dashboard Editor en Hitachi Vantara Pentaho versiones hasta 7.x - 8.x, contiene una vulnerabilidad de inyección de expansión de entidad XML, que permite a usuarios remotos autenticados activar una condición de denegación de servicio (DoS). Específicamente, la vulnerabilidad radica en el parámetro "dashboardXml". Corregido en> = 7.1.0.25,> = 8.2.0.6,> = 8.3.0.0 GA
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2021

Vulnerabilidad en el parámetro "dashboardXml en el atributo "pho:title" en el dashboard Editor en Hitachi Vantara Pentaho (CVE-2020-24664)
Fecha de publicación:
29/01/2021
Idioma:
Español
El dashboard Editor en Hitachi Vantara Pentaho versiones hasta 7.x - 8.x, contiene una vulnerabilidad de tipo Cross-site scripting reflejado, que permite a usuarios remotos autenticados ejecutar código JavaScript arbitrario. Específicamente, la vulnerabilidad radica en el atributo "pho:title" del parámetro "dashboardXml". Corregido en versiones anteriores a 7.1.0.25 incluyéndola, versiones anteriores a 8.2.0.6 incluyéndola y versiones anteriores a 8.3.0.0 GA incluyéndola
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2021

Vulnerabilidad en los futexes de PI en la pila del kernel de Linux (CVE-2021-3347)
Fecha de publicación:
29/01/2021
Idioma:
Español
Se detectó un problema en el kernel de Linux versiones hasta 5.10.11. Los futexes de PI presentan un uso de la memoria previamente liberada de la pila del kernel durante el manejo de fallos, permitiendo a usuarios locales ejecutar código en el kernel, también se conoce como CID-34b1a1ce1458
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en la plantilla de inicio de sesión en Foris (CVE-2021-3346)
Fecha de publicación:
29/01/2021
Idioma:
Español
Foris versiones anteriores a 101.1.1, como es usado en el Sistema Operativo Turris, carece de determinado escape HTML en la plantilla de inicio de sesión
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/02/2021

Vulnerabilidad en ini_parser.js en el paquete iniparserjs (CVE-2021-23328)
Fecha de publicación:
29/01/2021
Idioma:
Español
Esto afecta a todas las versiones del paquete iniparserjs. Esta vulnerabilidad se relaciona cuando ini_parser.js está concentrando matrices. Dependiendo en si una entrada del usuario es proporcionada, un atacante puede sobrescribir y contaminar el prototipo del objeto de un programa
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/02/2021

Vulnerabilidad en el archivo cipher/hash-common.c en la función _gcry_md_block_write en Libgcrypt (CVE-2021-3345)
Fecha de publicación:
29/01/2021
Idioma:
Español
La función _gcry_md_block_write en el archivo cipher/hash-common.c en la versión 1.9.0 de Libgcrypt tiene un desbordamiento de búfer basado en la pila cuando la función final del resumen establece un valor de recuento grande. Se recomienda actualizar a la versión 1.9.1 o posterior.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el envío de paquetes en ráfagas en el controlador de robot de la serie MELFA FR (CVE-2021-20586)
Fecha de publicación:
29/01/2021
Idioma:
Español
Vulnerabilidad de errores de administración de recursos en un controlador de robot de la serie MELFA FR (controller "CR800-*V*D" de RV-*FR***-D-* todas las versiones, controller "CR800-*HD" de RH-*FRH***-D-* todas las versiones, controller "CR800-*HRD" de RH-*FRHR***-D-* todas las versiones, controller "CR800-*V*R with R16RTCPU" de RV-*FR***-R-* todas las versiones, controller "CR800-*HR with R16RTCPU" de RH-*FRH***-R-* todas las versiones, controller "CR800-*HRR with R16RTCPU" de RH-*FRHR***-R-* todas las versiones, controller "CR800-*V*Q with Q172DSRCPU" de RV-*FR***-Q-* todas las versiones, controller "CR800-*HQ with Q172DSRCPU" de RH-*FRH***-Q-* todas las versiones, controller "CR800-*HRQ with Q172DSRCPU" de RH-*FRHR***-Q-* todas las versiones) y un controlador de robot de MELFA CR Series (controller "CR800-CVD" de RV-8CRL-D-* todas las versiones, controller "CR800-CHD" de RH-*CRH**-D-* todas las versiones) así como también un robot cooperativo ASSISTA (controller "CR800-05VD" de RV-5AS-D-* todas las versiones), permite a un atacante remoto no autenticado causar una DoS de la ejecución del programa del robot y la comunicación Ethernet mediante el envío de una gran cantidad de paquetes en ráfaga durante un corto período de tiempo. Como un resultado de la DoS, puede ocurrir un error. Se requiere un reinicio para recuperarlo si ocurre el error
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el parámetro de cookie de ZIV AUTOMATION 4CCT-EA6-334126BF (CVE-2021-25910)
Fecha de publicación:
29/01/2021
Idioma:
Español
Una vulnerabilidad de Autenticación Inapropiada en el parámetro de cookie de ZIV AUTOMATION 4CCT-EA6-334126BF permite a un atacante local llevar a cabo modificaciones en varios parámetros del dispositivo afectado como un usuario autenticado
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/02/2021

Vulnerabilidad en el envío de paquetes en el puerto 7919 en ZIV Automation 4CCT-EA6-334126BF (CVE-2021-25909)
Fecha de publicación:
29/01/2021
Idioma:
Español
ZIV Automation 4CCT-EA6-334126BF, versión de firmware 3.23.80.27.36371, permite a un atacante remoto no autenticado causar una condición de denegación de servicio en el dispositivo. Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes específicos hacia el puerto 7919
Gravedad CVSS v3.1: ALTA
Última modificación:
05/02/2021

Vulnerabilidad en la función addlicense_func de spx_restservice en el Baseboard Management Controller (BMC) en diversos productos HPE (CVE-2021-25123)
Fecha de publicación:
29/01/2021
Idioma:
Español
El Baseboard Management Controller (BMC) en HPE Cloudline CL5800 Gen9 Server; HPE Cloudline CL5200 Gen9 Server; HPE Cloudline CL4100 Gen10 Server; HPE Cloudline CL3100 Gen10 Server; HPE Cloudline CL5800 Gen10 Server, el firmware de BMC presenta un desbordamiento del búfer local en la función addlicense_func de spx_restservice
Gravedad CVSS v3.1: ALTA
Última modificación:
08/02/2021
Suscribirse a Vulnerabilidades