Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la página "quickFile.jsp" en una petición HTTP en OpenClinic GA (CVE-2020-27226)
Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL explotable en la página "quickFile.jsp" de OpenClinic GA versión 5.173.3. Una petición HTTP especialmente diseñada puede conllevar una inyección SQL. Un atacante puede realizar una petición HTTP autenticada para activar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2022

Vulnerabilidad en la página ''patientlist.do" en el parámetro findSector en la aplicación OpenClinic GA (CVE-2020-27230)
Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una cantidad de vulnerabilidades de inyección SQL explotables en la página "patientslist.do" de la aplicación OpenClinic GA versión 5.173.3. El parámetro findSector en la página ''patientlist.do" es vulnerable a una inyección SQL autenticada. Un atacante puede ejecutar una petición HTTP autenticada para activar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2022

Vulnerabilidad en la página ''patientlist.do" en el parámetro findDistrict en la aplicación OpenClinic GA (CVE-2020-27231)
Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una cantidad de vulnerabilidades de inyección SQL explotables en la página "patientslist.do" de la aplicación OpenClinic GA versión 5.173.3. El parámetro findDistrict en la página ''patientlist.do" es vulnerable a una inyección SQL autenticada. Un atacante puede ejecutar una petición HTTP autenticada para activar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2022

Vulnerabilidad en admin.php?c=admin&f=save en PHPOK (CVE-2020-19199)
Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en PHPOK versión 5.2.060, por medio de admin.php?c=admin&f=save, que podría permitir a un usuario malicioso remoto ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
18/05/2021

Vulnerabilidad en la configuración de una plantilla especifica en WarnSystem (CVE-2021-29502)
Fecha de publicación:
10/05/2021
Idioma:
Español
WarnSystem es un engranaje (plugin) para el bot Red discord. Se ha encontrado una vulnerabilidad en el código que permite a cualquier usuario acceder a información confidencial al configurar una plantilla específica que no está debidamente saneada. El problema ha sido parcheado en la versión 1.3.18. Los usuarios deben actualizar y escribir "!warnsysteminfo" para comprobar que su versión sea 1.3.18 o superior. Como solución alternativa, los usuarios pueden descargar el engranaje WarnSystem o deshabilitar el comando "!warnset description" globalmente
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2022

Vulnerabilidad en la Interfaz de Usuario Web en IBM Cloud Pak for Security (CP4S) (CVE-2021-20577)
Fecha de publicación:
10/05/2021
Idioma:
Español
IBM Cloud Pak for Security (CP4S) versiones 1.5.0.0 y 1.5.0.1, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 199281
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2021

Vulnerabilidad en la Interfaz de Usuario Web en IBM Control Desk (CVE-2021-20559)
Fecha de publicación:
10/05/2021
Idioma:
Español
IBM Control Desk versiones 7.6.1.2 y 7.6.1.3, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 199228
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2021

Vulnerabilidad en mecanismos de autorización en IBM Cloud Pak for Security (CP4S) (CVE-2021-20538)
Fecha de publicación:
10/05/2021
Idioma:
Español
IBM Cloud Pak for Security (CP4S) versiones 1.5.0.0 y 1.5.0.1, podría permitir a un usuario obtener información confidencial o llevar a cabo acciones a las que no debería tener acceso debido a mecanismos de autorización incorrectos. IBM X-Force ID: 198919
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/05/2021

Vulnerabilidad en el engranaje en Ticketer (CVE-2021-29501)
Fecha de publicación:
10/05/2021
Idioma:
Español
Ticketer es un engranaje del sistema (plugin) de tickets basado en comandos para el bot red discord. Una vulnerabilidad permite a usuarios de discord exponer información confidencial que ha sido encontrada en el Ticketer cog. Actualice a la versión 1.0.1 lo antes posible. Como solución alternativa, los usuarios pueden descargar el engranaje de ticketer cog para deshabilitar el código explotable
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2022

CVE-2021-31877
Fecha de publicación:
10/05/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA due to lack of a reference providing provenance. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el motor JavaScript en un documento PDF del Software de Foxit PDF Reader (CVE-2021-21822)
Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una vulnerabilidad de uso de la memoria previamente liberada en el motor JavaScript de Software de Foxit PDF Reader, versión 10.1.3.37598. Un documento PDF especialmente diseñado puede desencadenar la reutilización de la memoria previamente liberada, lo que puede conllevar a una ejecución de código arbitrario. Un atacante necesita engañar a un usuario para abrir un archivo o sitio malicioso para activar esta vulnerabilidad si la extensión del plugin del navegador está habilitada
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2022

Vulnerabilidad en un paquete DHCP FORCERENEW en Systemd 245 (CVE-2020-13529)
Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una vulnerabilidad de denegación de servicio explotable en Systemd 245. Un paquete DHCP FORCERENEW especialmente diseñado puede hacer que un servidor que ejecuta el cliente DHCP sea vulnerable a un ataque de suplantación de DHCP ACK. Un atacante puede falsificar un par de paquetes FORCERENEW y DCHP ACK para reconfigurar el servidor
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades