Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Apache Kylin (CVE-2021-45457)
Fecha de publicación:
06/01/2022
Idioma:
Español
En Apache Kylin, se permite el envío de peticiones de origen Cruzado con credenciales desde cualquier origen. Este problema afecta a Apache Kylin 2 versiones 2.6.6 y anteriores; Apache Kylin 3 versiones 3.1.2 y anteriores; Apache Kylin 4 versiones 4.0.0 y anteriores.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el controlador JDBC de MySQL en Apache Kylin (CVE-2021-36774)
Fecha de publicación:
06/01/2022
Idioma:
Español
Apache Kylin permite a usuarios leer datos de otros sistemas de bases de datos usando JDBC. El controlador JDBC de MySQL soporta determinadas propiedades que, si no son mitigadas, pueden permitir a un atacante ejecutar código arbitrario desde un servidor MySQL malicioso controlado por un hacker dentro de los procesos del servidor Kylin. Este problema afecta a Apache Kylin 2 versiones 2.6.6 y anteriores; Apache Kylin 3 versiones 3.1.2 y anteriores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en Apache Kylin (CVE-2021-45458)
Fecha de publicación:
06/01/2022
Idioma:
Español
Apache Kylin proporciona clases de cifrado PasswordPlaceholderConfigurer para ayudar a usuarios a cifrar sus contraseñas. En el algoritmo de cifrado usado por esta clase de cifrado, el cifrado es inicializado con una clave y un IV embebidos. Si los usuarios usan la clase PasswordPlaceholderConfigurer para cifrar su contraseña y la configuran en el archivo de configuración de kylin, se presenta el riesgo de que la contraseña pueda ser descifrada. Este problema afecta a Apache Kylin 2 versiones 2.6.6 y anteriores; Apache Kylin 3 versiones 3.1.2 y anteriores; Apache Kylin 4 versiones 4.0.0 y anteriores.
Gravedad CVSS v3.1: ALTA
Última modificación:
21/07/2023

Vulnerabilidad en los mapeos de peticiones en "StreamingCoordinatorController.java" que manejan los endpoints de la API REST "/kylin/api/streaming_coordinator/*" en Apache Kylin (CVE-2021-27738)
Fecha de publicación:
06/01/2022
Idioma:
Español
Todos los mapeos de peticiones en "StreamingCoordinatorController.java" que manejan los endpoints de la API REST "/kylin/api/streaming_coordinator/*" no incluían ninguna comprobación de seguridad, lo que permitía a un usuario no autenticado emitir peticiones arbitrarias, como la asignación/desasignación de cubos de streaming, la creación/modificación y la eliminación de conjuntos de réplicas, al Coordinador de Kylin. Para los endpoints que aceptan detalles de nodos en el cuerpo del mensaje HTTP, puede lograrse un ataque de tipo server-side request forgery (SSRF) no autenticado (pero limitado). Este problema afecta a Apache Kylin versiones 3 anteriores a la 3.1.2.
Gravedad CVSS v3.1: ALTA
Última modificación:
13/01/2022

Vulnerabilidad en el archivo de configuración en el producto SYNC2101 (CVE-2021-44564)
Fecha de publicación:
06/01/2022
Idioma:
Español
Una vulnerabilidad de seguridad reportada originalmente en el producto SYNC2101, y aplicable a subfamilias específicas de dispositivos SYNC, permite a un atacante descargar el archivo de configuración usado en el dispositivo y aplicar un archivo de configuración modificado al dispositivo. El ataque requiere el acceso a la red del dispositivo SYNC y el conocimiento de su dirección IP. El ataque aprovecha el canal de comunicación no seguro usado entre la herramienta de administración Easyconnect y el dispositivo SYNC (en la familia de productos SYNC afectados).
Gravedad CVSS v3.1: ALTA
Última modificación:
14/01/2022

Vulnerabilidad en el parámetro id del archivo /navigate/navigate_download.php en NavigateCMS (CVE-2021-44351)
Fecha de publicación:
06/01/2022
Idioma:
Español
Se presenta una vulnerabilidad de lectura arbitraria de archivos en NavigateCMS versión 2.9 por medio del parámetro id del archivo /navigate/navigate_download.php.
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2022

Vulnerabilidad en Los campos input de Apache Pluto UrlTestPortlet (CVE-2021-36737)
Fecha de publicación:
06/01/2022
Idioma:
Español
Los campos input de Apache Pluto UrlTestPortlet son vulnerables a ataques de tipo Cross-Site Scripting (XSS). Los usuarios deben migrar a la versión 3.1.1 del artefacto v3-demo-portlet.war
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2022

Vulnerabilidad en los campos "first name" y "last name" del arquetipo maven de portlet MVCBean de Apache Pluto (CVE-2021-36739)
Fecha de publicación:
06/01/2022
Idioma:
Español
Los campos "first name" y "last name" del arquetipo maven de portlet MVCBean de Apache Pluto versión 3.1.0, son vulnerables a ataques de tipo Cross-Site Scripting (XSS).
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/05/2025

Vulnerabilidad en los campos de entrada en la versión JSP de portlet MVCBean CDI de Apache Pluto Applicant (CVE-2021-36738)
Fecha de publicación:
06/01/2022
Idioma:
Español
Los campos de entrada en la versión JSP de portlet MVCBean CDI de Apache Pluto Applicant son vulnerables a ataques de tipo Cross-Site Scripting (XSS). Los usuarios deben migrar a la versión 3.1.1 del artefacto applicant-mvcbean-cdi-jsp-portlet.war
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2022

Vulnerabilidad en el subsistema del llavero en los vehículos Honda Civic 2012 (CVE-2021-46145)
Fecha de publicación:
06/01/2022
Idioma:
Español
El subsistema del llavero en los vehículos Honda Civic 2012 permite un ataque de repetición para el desbloqueo. Esto está relacionado con un código rodante que no caduca y la resincronización del contador.
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/01/2022

Vulnerabilidad en la función mod_extforward_Forwarded del plugin mod_extforward en lighttpd (CVE-2022-22707)
Fecha de publicación:
06/01/2022
Idioma:
Español
En lighttpd versiones 1.4.46 hasta 1.4.63, la función mod_extforward_Forwarded del plugin mod_extforward tiene un desbordamiento de búfer basado en la pila (4 bytes que representan -1), como lo demuestra la denegación de servicio remota (caída del demonio) en una configuración no predeterminada. La configuración no predeterminada requiere el manejo de la cabecera Forwarded de una manera algo inusual. Además, es mucho más probable que un sistema de 32 bits se vea afectado que un sistema de 64 bits
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/01/2022

Vulnerabilidad en forge (CVE-2022-0122)
Fecha de publicación:
06/01/2022
Idioma:
Español
forge es vulnerable a una Redirección de URLs a Sitios no Confiables
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/01/2022
Suscribirse a Vulnerabilidades