Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Bitcoin Core (CVE-2021-31876)
Fecha de publicación:
13/05/2021
Idioma:
Español
Bitcoin Core desde la versión 0.12.0 hasta la versión 0.21.1 no implementa correctamente la política de reemplazo especificada en BIP125, lo que hace más fácil para los atacantes desencadenar una pérdida de fondos, o un ataque de denegación de servicio contra proyectos posteriores como los nodos de la red Lightning. Una transacción hija no confirmada con nSequence = 0xff_ff_ff_ff, que gasta un padre no confirmado con nSequence <= 0xff_ff_ff_fd, debería ser reemplazable porque hay una señalización heredada por la transacción hija. Sin embargo, la implementación real de PreChecks no hace cumplir esto. En su lugar, mempool rechaza el intento de reemplazo de la transacción hija no confirmada.arameter
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/05/2021

Vulnerabilidad en Aurelia (CVE-2019-10062)
Fecha de publicación:
13/05/2021
Idioma:
Español
La clase HTMLSanitizer en html-sanitizer.ts en todas las versiones liberadas del repositorio Aurelia framework 1.x es vulnerable a XSS. El saneamiento sólo intenta filtrar los elementos SCRIPT, lo que hace posible que los atacantes remotos realicen ataques XSS a través de (por ejemplo) código JavaScript en un atributo de otros elementos. Un atacante también podría explotar un error en la forma en que se procesa la cadena SCRIPT al dividirla y anidarla, por ejemplo
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en ILIAS (CVE-2020-23996)
Fecha de publicación:
13/05/2021
Idioma:
Español
Una vulnerabilidad de inclusión de archivos locales en ILIAS antes de las versiones 5.3.19, 5.4.10 y 6.0 permite a atacantes remotos autentificados ejecutar código arbitrario a través de la importación de datos personales
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2021

Vulnerabilidad en ILIAS (CVE-2020-23995)
Fecha de publicación:
13/05/2021
Idioma:
Español
Una vulnerabilidad de divulgación de información en ILIAS antes de las versiones 5.3.19, 5.4.12 y 6.0 permite a los atacantes remotos autentificados obtener la ruta de datos de carga a través de una carga de espacio de trabajo
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2022

Vulnerabilidad en Pydantic (CVE-2021-29510)
Fecha de publicación:
13/05/2021
Idioma:
Español
Pydantic es un sistema de validación de datos y gestión de configuraciones que utiliza las sugerencias de tipo de Python. En las versiones afectadas, pasar `'infinity'`, `'inf'` o `float('inf')` (o sus negativos) a los campos `datetime` o `date` hace que la validación se ejecute eternamente con un uso del 100% de la CPU (en una CPU). Pydantic ha sido parcheado con correcciones disponibles en las siguientes versiones: v1.8.2, v1.7.4, v1.6.2. Todas estas versiones están disponibles en pypi(https://pypi.org/project/pydantic/#history), y estarán disponibles en conda-forge(https://anaconda.org/conda-forge/pydantic) pronto. Consulta el registro de cambios(https://pydantic-docs.helpmanual.io/) para más detalles. Si no puedes actualizar absolutamente, puedes evitar este riesgo usando un validador(https://pydantic-docs.helpmanual.io/usage/validators/) para capturar estos valores. Esta no es una solución ideal (en particular, necesitarás una función ligeramente diferente para las fechas), en lugar de un hack como este deberías actualizar pydantic. Si no estás usando v1.8.x, v1.7.x o v1.6.x y no puedes actualizar a una versión fija de pydantic, por favor crea un issue en https://github.com/samuelcolvin/pydantic/issues solicitando un back-port, y nos esforzaremos en liberar un parche para versiones anteriores de pydantic
Gravedad CVSS v3.1: BAJA
Última modificación:
08/12/2025

Vulnerabilidad en en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz (CVE-2021-23907)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz hasta 2021. El recuento en MultiSvGet, GetAttributes y MultiSvSet no se comprueba en el protocolo HiQnet, lo que lleva a la ejecución remota de código
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/02/2022

Vulnerabilidad en un desbordamiento del búfer basado en la pila en Omron CX-One (CVE-2021-27413)
Fecha de publicación:
13/05/2021
Idioma:
Español
Las versiones 4.60 y anteriores de Omron CX-One, incluidas las versiones 5.0.29.0 y anteriores de CX-Server, son vulnerables a un desbordamiento del búfer basado en la pila, que puede permitir a un atacante ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2021

Vulnerabilidad en GraphHopper (CVE-2021-29506)
Fecha de publicación:
13/05/2021
Idioma:
Español
GraphHopper es un motor de enrutamiento Java de código abierto. En GraphHopper a partir de la versión 2.0 y antes de la versión 2.4, existe una vulnerabilidad de inyección de expresiones regulares que puede llevar a una denegación de servicio. Esto ha sido parcheado en las versiones 2.4 y 3.0. Vea este pull request para la corrección: https://github.com/graphhopper/graphhopper/pull/2304
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en en el sistema de infoentretenimiento MBUX en Mercedes-Benz HERMES (CVE-2021-23909)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en HERMES versión 2.1 en el sistema de infoentretenimiento MBUX de los vehículos Mercedes-Benz hasta 2021. La MCU SH2 permite la ejecución remota de código
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/05/2021

Vulnerabilidad en HERMES (CVE-2021-23910)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en HERMES versión 2.1 en el sistema de infoentretenimiento MBUX de los vehículos Mercedes-Benz hasta 2021. Hay un acceso a un array fuera de límites en RemoteDiagnosisApp
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/05/2021

Vulnerabilidad en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz (CVE-2021-23906)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz hasta 2021. No se comprueba la longitud de un mensaje en el protocolo HiQnet, lo que lleva a la ejecución remota de código
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/05/2021

Vulnerabilidad en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz (CVE-2021-23908)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz hasta 2021. Un problema de confusión de tipos afecta a MultiSvSetAttributes en el protocolo HiQnet, lo que lleva a la ejecución remota de código
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/12/2021
Suscribirse a Vulnerabilidades