Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en en el sistema de infoentretenimiento MBUX en Mercedes-Benz HERMES (CVE-2021-23909)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en HERMES versión 2.1 en el sistema de infoentretenimiento MBUX de los vehículos Mercedes-Benz hasta 2021. La MCU SH2 permite la ejecución remota de código
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/05/2021

Vulnerabilidad en HERMES (CVE-2021-23910)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en HERMES versión 2.1 en el sistema de infoentretenimiento MBUX de los vehículos Mercedes-Benz hasta 2021. Hay un acceso a un array fuera de límites en RemoteDiagnosisApp
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/05/2021

Vulnerabilidad en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz (CVE-2021-23906)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz hasta 2021. No se comprueba la longitud de un mensaje en el protocolo HiQnet, lo que lleva a la ejecución remota de código
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/05/2021

Vulnerabilidad en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz (CVE-2021-23908)
Fecha de publicación:
13/05/2021
Idioma:
Español
Se detectó un problema en la unidad principal NTG6 del sistema de infoentretenimiento MBUX en los vehículos Mercedes-Benz hasta 2021. Un problema de confusión de tipos afecta a MultiSvSetAttributes en el protocolo HiQnet, lo que lleva a la ejecución remota de código
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/12/2021

Vulnerabilidad en el archivo admin/user_import.php en Chamilo (CVE-2021-32925)
Fecha de publicación:
13/05/2021
Idioma:
Español
el archivo admin/user_import.php en Chamilo versión 1.11.x, lee datos XML sin deshabilitar la capacidad de cargar entidades externas
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en las acciones de webhook en Kibana (CVE-2021-22139)
Fecha de publicación:
13/05/2021
Idioma:
Español
Kibana versiones anteriores a 7.12.1, contienen una vulnerabilidad de denegación de servicio que se encontró en las acciones de webhook debido a una falta de tiempo de espera o un límite en el tamaño de la petición. Un atacante con permisos para crear acciones de webhook podría agotar el grupo de conexiones de host de Kibana, haciendo que Kibana no esté disponible para todos los demás usuarios
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/05/2021

Vulnerabilidad en la funcionalidad beta del rastreador web en un sitemap.xml de Elastic App Search (CVE-2021-22140)
Fecha de publicación:
13/05/2021
Idioma:
Español
Elastic App Search versiones posteriores a 7.11.0 y anteriores a 7.12.0, contienen un problema de inyección de entidad externa XML (XXE) en la funcionalidad beta del rastreador web de App Search. Con este vector, un atacante cuyo sitio web está siendo rastreado por App Search podría diseñar un sitemap.xml malicioso para atravesar el sistema de archivos del host que ejecuta la instancia y obtener archivos confidenciales
Gravedad CVSS v3.1: ALTA
Última modificación:
21/05/2021

Vulnerabilidad en la funcionalidad de monitoreo en el certificado TLS en Logstash (CVE-2021-22138)
Fecha de publicación:
13/05/2021
Idioma:
Español
En Logstash versiones posteriores a 6.4.0 y anteriores a 6.8.15 y 7.12.0, se encontró un fallo de comprobación del certificado TLS en la funcionalidad de monitoreo. Cuando se especifica un certificado CA en un servidor confiable, Logstash no verificaba apropiadamente el certificado devuelto por el servidor de monitoreo. Esto podría resultar en un ataque de tipo man in the middle contra los datos de monitoreo de Logstash
Gravedad CVSS v3.1: BAJA
Última modificación:
04/06/2022

Vulnerabilidad en las consultas de búsqueda en los permisos de seguridad en Document o Field Level Security en Elasticsearch (CVE-2021-22137)
Fecha de publicación:
13/05/2021
Idioma:
Español
En Elasticsearch versiones anteriores a 7.11.2 y la 6.8.15, se encontró un fallo en la divulgación del documento cuando Document o Field Level Security es usado. Las consultas de Búsqueda no conservan apropiadamente los permisos de seguridad al ejecutar determinadas consultas de búsqueda cross-cluster. Esto podría resultar en que la búsqueda revele la existencia de documentos que el atacante no sería capaz de visualizar. Esto podría resultar en que un atacante obtenga información adicional sobre índices potencialmente confiables
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2022

Vulnerabilidad en la configuración xpack.security.session.idleTimeout en Kibana (CVE-2021-22136)
Fecha de publicación:
13/05/2021
Idioma:
Español
En Kibana versiones anteriores a 7.12.0 y 6.8.15, se detectó un fallo en el timeout de la sesión donde la configuración xpack.security.session.idleTimeout no está siendo respetada. Esto fue causado por actividades de sondeo en segundo plano que extendieron involuntariamente las sesiones de los usuarios autenticados, impidiendo que se agotara el timeout de una sesión de usuario
Gravedad CVSS v3.1: BAJA
Última modificación:
21/05/2021

Vulnerabilidad en la API suggester y profile de Elasticsearch (CVE-2021-22135)
Fecha de publicación:
13/05/2021
Idioma:
Español
Elasticsearch versiones anteriores a 7.11.2 y 6.8.15, contienen un fallo en la divulgación de documentos que se encontró en la API suggester y profile de Elasticsearch cuando Document and Field Level Security está habilitada. La API suggester y profile normalmente están deshabilitadas para un índice cuando la seguridad a nivel de documento está habilitada en el índice. Determinadas consultas son capaces de habilitar el profiler y suggester, lo que podría conllevar a revelar la existencia de documentos y campos que el atacante no sería capaz de visualizar
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/09/2021

Vulnerabilidad en los metadatos de archivos de imagen Exif, IPTC, XMP e ICC en Exiv2 (CVE-2021-29623)
Fecha de publicación:
13/05/2021
Idioma:
Español
Exiv2 es una biblioteca C++ y una utilidad de línea de comandos para leer, escribir, eliminar y modificar metadatos de imágenes Exif, IPTC, XMP e ICC. Se encontró una lectura de memoria no inicializada en Exiv2 versiones v0.27.3 y anteriores. Exiv2 es una utilidad de línea de comandos y una biblioteca C++ para leer, escribir, eliminar y modificar los metadatos de archivos de imagen. La lectura de la memoria no inicializada se activa cuando se usa Exiv2 para leer los metadatos de un archivo de imagen diseñado. Un atacante podría potencialmente explotar la vulnerabilidad para filtrar algunos bytes de memoria de pila, si puede engañar a la víctima para que ejecutar Exiv2 en un archivo de imagen diseñado. El bug se corrigió en la versión v0.27.4
Gravedad CVSS v3.1: BAJA
Última modificación:
22/12/2023
Suscribirse a Vulnerabilidades