Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el parámetro imageUrl en HTTP "GET" en múltiples aplicaciones en Jellyfin (CVE-2021-29490)
Fecha de publicación:
06/05/2021
Idioma:
Español
Jellyfin es un sistema multimedia de software libre que proporciona multimedia desde un servidor dedicado a los dispositivos del usuario final por medio de múltiples aplicaciones. Las versiones anteriores a 10.7.3 son vulnerables a ataques de tipo Server-Side Request Forgery (SSRF) no autenticado por medio del parámetro imageUrl. Este problema expone potencialmente a los servidores HTTP internos y externos u otros recursos disponibles por medio de HTTP "GET" que son visibles desde el servidor Jellyfin. La vulnerabilidad está parcheada en la versión 10.7.3. Como solución alternativa, deshabilite el acceso externo a los endpoints de la API "/Items/*/RemoteImages/Download", "/Items/RemoteSearch/Image" y "/Images/Remote" por medio de un proxy inverso, o limite de las direcciones IP amigables conocidas
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/05/2021

CVE-2021-29491
Fecha de publicación:
06/05/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2021-28860. Reason: This candidate is a reservation duplicate of CVE-2021-28860. Notes: All CVE users should reference CVE-2021-28860 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el archivo ethereum.c en la función ethereum_extractThorchainSwapData() en el firmware ShapeShift KeepKey hardware wallet (CVE-2021-31616)
Fecha de publicación:
06/05/2021
Idioma:
Español
Unas comprobaciones insuficiente de longitud en el firmware ShapeShift KeepKey versiones anteriores a 7.1.0, permiten un desbordamiento del búfer de la pila por medio de mensajes diseñados. El desbordamiento en la función ethereum_extractThorchainSwapData() en el archivo ethereum.c puede omitir las protecciones de la pila y conllevar a una ejecución de código. La interfaz vulnerable es accesible de forma remota por medio de WebUSB
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2022

Vulnerabilidad en la función "gitDiff" en Wayfair git-parse (CVE-2021-26543)
Fecha de publicación:
06/05/2021
Idioma:
Español
La función "gitDiff" en Wayfair git-parse versiones anteriores o iguales a 1.0.4 tiene una vulnerabilidad de inyección de comandos. Los clientes de la biblioteca git-parse probablemente no sean conscientes de ello, por lo que podrían escribir involuntariamente código que contenga una vulnerabilidad. El problema se ha resuelto en la versión 1.0.5.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en un periférico de parche ROM en Microcontroladores NXP (CVE-2021-31532)
Fecha de publicación:
06/05/2021
Idioma:
Español
Microcontroladores NXP LPC55S6x (0A y 1B), i.MX RT500 (silicio rev B1 y B2), i. MX RT600 (silicio rev A0, B0), LPC55S6x, LPC55S2x, LPC552x (silicio rev 0A, 1B), LPC55S1x, LPC551x (silicio rev 0A) y LPC55S0x, LPC550x (silicio rev 0A) incluyen un periférico de parcheo de ROM no documentado que permite la modificación sin firma y no persistente de la ROM interna
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en las restricciones MS_MAP_NO_PATH y MS_MAP_PATTERN en MapServer (CVE-2021-32062)
Fecha de publicación:
06/05/2021
Idioma:
Español
MapServer versiones anteriores a 7.0.8, 7.1.xy versiones 7.2.x anteriores a 7.2.3, 7.3.xy versiones 7.4.x anteriores a 7.4.5, y 7.5.x y versiones 7.6.x anteriores a 7.6.3, no aplica apropiadamente las restricciones MS_MAP_NO_PATH y MS_MAP_PATTERN que son destinadas a controlar las ubicaciones desde las que un mapfile puede ser cargado (con MapServer CGI)
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en el valor de internal.ndata, en la API de KVM en el kernel de Linux (CVE-2021-3501)
Fecha de publicación:
06/05/2021
Idioma:
Español
Se encontró un fallo en el kernel de Linux en versiones anteriores a 5.12. El valor de internal.ndata, en la API de KVM, es asignado a un índice de matriz, que puede ser actualizado por un proceso de usuario en cualquier momento, lo que podría conllevar a una escritura fuera de límites. La mayor amenaza de esta vulnerabilidad es la integridad de los datos y la disponibilidad del sistema
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2022

Vulnerabilidad en delete_pid_file en las opciones -oP y -oPX en Exim 4 (CVE-2021-27216)
Fecha de publicación:
06/05/2021
Idioma:
Español
Exim 4 versiones anteriores a 4.94.2, presenta una Ejecución con Privilegios Innecesarios. Al aprovechar una condición de carrera delete_pid_file, un usuario local puede eliminar archivos arbitrarios como root. Esto involucra las opciones -oP y -oPX
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en los octectos de dirección IP en Python stdlib ipaddress (CVE-2021-29921)
Fecha de publicación:
06/05/2021
Idioma:
Español
En Python antes de la versiones 3,9,5, la biblioteca ipaddress maneja mal los caracteres cero iniciales en los octetos de una cadena de direcciones IP. Esto (en algunas situaciones) permite a los atacantes eludir el control de acceso que se basa en las direcciones IP
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/11/2025

Vulnerabilidad en el envío de un paquete en la implementación de Cisco Discovery para Cisco Video Surveillance 8000 Series IP Cameras (CVE-2021-1521)
Fecha de publicación:
06/05/2021
Idioma:
Español
Una vulnerabilidad en la implementación de Cisco Discovery para Cisco Video Surveillance 8000 Series IP Cameras, podría permitir a un atacante adyacente no autenticado causar la recarga de una cámara IP afectada. Esta vulnerabilidad es debido a la falta de comprobaciones al procesar mensajes Cisco Discovery Protocol. Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete de Cisco Discovery Protocol malicioso hacia una cámara IP afectada. Una explotación con éxito podría permitir al atacante hacer que la cámara IP afectada se recargue inesperadamente, resultando en una condición de denegación de servicio (DoS). Nota: El protocolo Cisco Discovery Protocol es un protocolo de Capa 2. Para explotar esta vulnerabilidad, un atacante debe estar en el mismo dominio de transmisión que el dispositivo afectado (capa 2 adyacente)
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la funcionalidad Add Listing en la carga de archivos PHP en el plugin de WordPress Classyfrieds (CVE-2021-24253)
Fecha de publicación:
06/05/2021
Idioma:
Español
El plugin de WordPress Classyfrieds versiones hasta 3.8, no comprueba apropiadamente el archivo cargado cuando un usuario autenticado agrega una lista, solo comprueba el tipo de contenido en la petición. Esto permite a cualquier usuario autenticado cargar archivos PHP arbitrarios por medio de la funcionalidad Add Listing del plugin, conllevando a RCE
Gravedad CVSS v3.1: ALTA
Última modificación:
14/05/2021

Vulnerabilidad en el archivo CSV en el plugin College publisher Import WordPress (CVE-2021-24254)
Fecha de publicación:
06/05/2021
Idioma:
Español
El plugin College publisher Import WordPress versiones hasta 0.1, no comprueba el archivo CSV cargado para importar, permitiendo a usuarios muy privilegiados cargar archivos arbitrarios, como PHP, que conllevan a RCE. Debido a una falta de comprobación CSRF, el problema también podría ser explotado mediante un ataque CSRF
Gravedad CVSS v3.1: ALTA
Última modificación:
14/05/2021
Suscribirse a Vulnerabilidades