Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un valor csrf_token en GNU Mailman (CVE-2021-42097)
Fecha de publicación:
21/10/2021
Idioma:
Español
GNU Mailman versiones anteriores a 2.1.35, puede permitir una escalada de privilegios remota. Un valor csrf_token no es específico de una sola cuenta de usuario. Un atacante puede obtener un valor dentro del contexto de una cuenta de usuario sin privilegios, y luego usar ese valor en un ataque de tipo CSRF contra un administrador (por ejemplo, para la toma de posesión de la cuenta)
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en los valores de subscribe_url en Discourse (CVE-2021-41163)
Fecha de publicación:
20/10/2021
Idioma:
Español
Discourse es una plataforma de código abierto para el debate comunitario. En las versiones afectadas, las peticiones diseñadas de forma maliciosa podían conllevar a una ejecución de código remota . Esto se debía a una falta de comprobación en los valores de subscribe_url. Este problema está parcheado en las últimas versiones estables, beta y de prueba de Discourse. Para solucionar el problema sin necesidad de actualizar, las peticiones con una ruta que empiece por /webhooks/aws podrían bloquearse en un proxy de subida
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/10/2022

Vulnerabilidad en Microsoft Surface Pro 3 (CVE-2021-42299)
Fecha de publicación:
20/10/2021
Idioma:
Español
Una vulnerabilidad de Omisión de la Funcionalidad de Seguridad en Microsoft Surface Pro 3
Gravedad CVSS v3.1: MEDIA
Última modificación:
08/08/2023

Vulnerabilidad en Babel.Locale en Babel (CVE-2021-42771)
Fecha de publicación:
20/10/2021
Idioma:
Español
Babel.Locale en Babel versiones anteriores a 2.9.1, permite a atacantes cargar archivos .dat de configuración regional arbitrarios (que contienen objetos Python serializados) por medio de salto de directorio, lo que conlleva a una ejecución de código
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2021

Vulnerabilidad en el protocolo de consenso Proof-of-Stake (PoS) de Ethereum (CVE-2021-42766)
Fecha de publicación:
20/10/2021
Idioma:
Español
El protocolo de consenso Proof-of-Stake (PoS) de Ethereum versiones hasta el 19-10-2021, permite a un adversario causar una denegación de servicio (reorganizaciones de la cadena de consenso de largo alcance), incluso cuando este adversario presenta poco interés y no puede influir en la propagación de los mensajes de la red. Esto puede causar una paralización del protocolo, o un aumento de las ganancias de los comprobadores individuales
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/10/2021

Vulnerabilidad en el protocolo de consenso Proof-of-Stake (PoS) de Ethereum (CVE-2021-42765)
Fecha de publicación:
20/10/2021
Idioma:
Español
El protocolo de consenso Proof-of-Stake (PoS) de Ethereum versiones hasta 19-10-2021, permite a un adversario aprovechar el retraso de la red para causar una denegación de servicio (paralización indefinida de las decisiones de consenso)
Gravedad CVSS v3.1: ALTA
Última modificación:
26/10/2021

Vulnerabilidad en las reorganizaciones de corto alcance de la cadena de consenso subyacente en el protocolo de consenso Proof-of-Stake (PoS) de Ethereum (CVE-2021-42764)
Fecha de publicación:
20/10/2021
Idioma:
Español
El protocolo de consenso Proof-of-Stake (PoS) de Ethereum versiones hasta 19-10-2021, permite a un adversario causar una denegación de servicio (retraso en las decisiones de consenso), y también aumentar los beneficios de los comprobadores individuales, por medio de reorganizaciones de corto alcance de la cadena de consenso subyacente
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/10/2021

Vulnerabilidad en IBM QRadar Advisor (CVE-2021-38896)
Fecha de publicación:
20/10/2021
Idioma:
Español
IBM QRadar Advisor versiones 2.5 hasta 2.6.1, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 209566
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/10/2021

Vulnerabilidad en el proceso con sandbox en el archivo BubblewrapLauncher.cpp en WebKitGTK y WPE WebKit (CVE-2021-42762)
Fecha de publicación:
20/10/2021
Idioma:
Español
El archivo BubblewrapLauncher.cpp en WebKitGTK y WPE WebKit versiones anteriores a 2.34.1, permite una omisión limitada del sandbox que permite a un proceso con sandbox engañar a procesos anfitriones para que piensen que el proceso con sandbox no está confinado por la sandbox, al abusar de las llamadas al sistema VFS que manipulan su espacio de nombres del sistema de archivos. El impacto se limita a servicios de host que crean sockets UNIX que WebKit monta dentro de su sandbox, y el proceso con sandbox permanece confinado de otra manera. NOTA: esto es similar a CVE-2021-41133
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en las funciones forEachSeries y forEachLimit en modern-async (CVE-2021-41167)
Fecha de publicación:
20/10/2021
Idioma:
Español
modern-async es una biblioteca de herramientas de JavaScript de código abierto para operaciones asíncronas usando async/await y promesas. En las versiones afectadas se ha detectado un error que afecta a dos de las funciones de esta biblioteca: forEachSeries y forEachLimit. Deberían limitar la concurrencia de algunas acciones pero, en la práctica, no lo hacen. Cualquier código que llame a estas funciones se escribirá pensando que limitarán la concurrencia pero no lo harán. Esto podría conllevar a posibles problemas de seguridad en otros proyectos. El problema ha sido parcheado en la versión 1.0.4. No se presenta ninguna solución
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2022

Vulnerabilidad en un método ValidateBasic del módulo x/authz en Cosmos-SDK (CVE-2021-41135)
Fecha de publicación:
20/10/2021
Idioma:
Español
Cosmos-SDK es un marco de trabajo para construir aplicaciones blockchain en Golang. Las versiones afectadas del SDK eran vulnerables a una interrupción del consenso debido a un comportamiento no determinista en un método ValidateBasic del módulo x/authz. El MsgGrant del módulo x/authz contiene un campo Grant que incluye un tiempo de expiración definido por el usuario para cuando la concesión de autorización expira. En Grant.ValidateBasic(), esa hora se compara con la hora del reloj local del nodo. Cualquier cadena que ejecute una versión afectada del SDK con el módulo authz habilitado podría ser detenida por cualquier persona con la capacidad de enviar transacciones en esa cadena. Una recuperación requeriría aplicar el parche y hacer retroceder el último bloque. Se recomienda usuarios actualizar a la versión 0.44.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en una petición HTTP en el producto ZTE MF971R (CVE-2021-21743)
Fecha de publicación:
20/10/2021
Idioma:
Español
El producto ZTE MF971R presenta una vulnerabilidad de inyección de CRLF. Un atacante podría aprovechar esta vulnerabilidad para modificar la información del encabezado de respuesta HTTP mediante una petición HTTP especialmente diseñada
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2021
Suscribirse a Vulnerabilidades