Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en PSDImagePlugin.PsdImageFile en Pillow (CVE-2021-28675)
Fecha de publicación:
02/06/2021
Idioma:
Español
Se ha detectado un problema en Pillow versiones anteriores a 8.2.0, PSDImagePlugin.PsdImageFile carecía de una comprobación de saneamiento sobre el número de capas de entrada en relación con el tamaño del bloque de datos. Esto podría conllevar a un DoS en Image.open anterior a Image.load
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en las etiquetas ID3v2 en Gstreamer (CVE-2021-3522)
Fecha de publicación:
02/06/2021
Idioma:
Español
GStreamer versiones anteriores a 1.18.4, puede llevar a cabo una lectura fuera de límites al manejar determinadas etiquetas ID3v2
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/09/2022

Vulnerabilidad en las propiedades de Object.prototype en la biblioteca merge-deep para Node.js (CVE-2021-26707)
Fecha de publicación:
02/06/2021
Idioma:
Español
La biblioteca merge-deep versiones anteriores a 3.0.3, para Node.js puede ser engañado para sobrescribir propiedades de Object.prototype o añadirle nuevas propiedades. Estas propiedades son heredadas por todos los objetos del programa, facilitando así los ataques de contaminación de prototipos contra las aplicaciones que usan esta biblioteca
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/12/2022

Vulnerabilidad en el parámetro vhost-user-gpu en el proceso de QEMU (CVE-2021-3546)
Fecha de publicación:
02/06/2021
Idioma:
Español
Se ha encontrado una vulnerabilidad de escritura fuera de límites en el dispositivo GPU virtio vhost-user (vhost-user-gpu) de QEMU en las versiones hasta la 6.0 inclusive. El fallo se produce al procesar el comando 'VIRTIO_GPU_CMD_GET_CAPSET' del huésped. Podría permitir a un usuario invitado con privilegios colapsar el proceso de QEMU en el host, lo que resulta en una condición de denegación de servicio, o una potencial ejecución de código con los privilegios del proceso de QEMU
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2022

Vulnerabilidad en los archivos contrib/vhost-user-gpu/vhost-user-gpu.c y contrib/vhost-user-gpu/virgl.c en el dispositivo virtio vhost-user GPU (vhost-user-gpu) de QEMU (CVE-2021-3544)
Fecha de publicación:
02/06/2021
Idioma:
Español
Se han encontrado varias pérdidas de memoria en el dispositivo virtio vhost-user GPU (vhost-user-gpu) de QEMU en las versiones hasta la 6.0 incluyéndola. Se presentan en los archivos contrib/vhost-user-gpu/vhost-user-gpu.c y contrib/vhost-user-gpu/virgl.c debido a la liberación inapropiada de la memoria (es decir, libre) después del tiempo de vida efectivo
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2022

Vulnerabilidad en el archivo contrib/vhost-user-gpu/virgl.c en la función virgl_cmd_get_capset_info() en el dispositivo GPU virtio vhost-user (vhost-user-gpu) de QEMU (CVE-2021-3545)
Fecha de publicación:
02/06/2021
Idioma:
Español
Se ha encontrado una vulnerabilidad de divulgación de información en el dispositivo GPU virtio vhost-user (vhost-user-gpu) de QEMU en las versiones hasta 6.0 incluyéndola. El fallo se presenta en la función virgl_cmd_get_capset_info() en el archivo contrib/vhost-user-gpu/virgl.c y podría ocurrir debido a una lectura de memoria no inicializada. Un invitado malicioso podría explotar este problema para filtrar la memoria desde el host
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en los hilos en el servidor EJB en jboss-remoting (CVE-2020-35510)
Fecha de publicación:
02/06/2021
Idioma:
Español
Se ha encontrado un fallo en jboss-remoting en versiones anteriores a 5.0.20.SP1-redhat-00001. Un atacante malicioso podría causar que los hilos (subprocesos) se quedaran detenidos para siempre en el servidor EJB al escribir una secuencia de bytes correspondientes a los mensajes esperados de una petición de cliente EJB con éxito, pero omitiendo los mensajes ACK, o simplemente manipulando el código de jboss-remoting, borrando las líneas que envían el mensaje ACK del código del cliente EJB, resultando en una Denegación de Servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/08/2021

Vulnerabilidad en la contraseña no cifrada del servidor McAfee Insights en la interfaz de administrador de McAfee Database Security (DBSec) (CVE-2021-23896)
Fecha de publicación:
02/06/2021
Idioma:
Español
Una vulnerabilidad de Information Confidencial de la Transmision de Texto Sin cifrar en la interfaz de administrador de McAfee Database Security (DBSec) versiones anteriores a 4.8.2, permite a un administrador visualizar la contraseña no cifrada del servidor McAfee Insights utilizada para pasar datos al servidor Insights. Este usuario está restringido a tener acceso únicamente a los datos de DBSec en el Insights Server
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el archivo /etc/kubernetes/kubeconfig en OpenShift (CVE-2020-35514)
Fecha de publicación:
02/06/2021
Idioma:
Español
Se ha detectado un fallo de modificación no segura en el archivo /etc/kubernetes/kubeconfig en OpenShift. Este fallo permite a un atacante con acceso a un contenedor en ejecución que monta el archivo /etc/kubernetes o que tiene acceso local al nodo, copiar este archivo kubeconfig e intentar añadir su propio nodo al clúster de OpenShift. La mayor amenaza de esta vulnerabilidad es la confidencialidad, la integridad, así como la disponibilidad del sistema. Este fallo afecta a versiones anteriores a openshift4/ose-machine-config-operator v4.7.0-202105111858.p0
Gravedad CVSS v3.1: ALTA
Última modificación:
11/06/2021

Vulnerabilidad en la función g.rand.Read en github.com/satori/go.uuid (CVE-2021-3538)
Fecha de publicación:
02/06/2021
Idioma:
Español
Se ha encontrado un fallo en github.com/satori/go.uuid en las versiones desde el commit 0ef6afb2f6cdd6cdaeee3885a95099c63f18fc8c hasta d91630c8510268e75203009fe7daf2b8e1d60c45. Debido a una aleatoriedad no segura en la función g.rand.Read los UUIDs generados son predecibles para un atacante
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/10/2024

Vulnerabilidad en la función zsdata en lrzsz (CVE-2018-10195)
Fecha de publicación:
02/06/2021
Idioma:
Español
lrzsz versiones anteriores a 0.12.21~rc, puede filtrar información al lado receptor debido a una comprobación de longitud incorrecta en la función zsdata que causa que size_t se envuelva
Gravedad CVSS v3.1: ALTA
Última modificación:
21/02/2022

Vulnerabilidad en la función callback megasas_command_cancelled() en una petición SCSI en la emulación megasas-gen2 SCSI host bus adapter de QEMU (CVE-2020-35503)
Fecha de publicación:
02/06/2021
Idioma:
Español
Se ha encontrado un fallo de desreferencia del puntero NULL en la emulación megasas-gen2 SCSI host bus adapter de QEMU en versiones anteriores a 6.0 incluyéndola. Este problema ocurre en la función callback megasas_command_cancelled() mientras se deja caer una petición SCSI. Este fallo permite a un usuario invitado con privilegios bloquear el proceso QEMU en el host, resultando en una denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2022
Suscribirse a Vulnerabilidades