Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Visual Studio Code de Microsoft (CVE-2021-28473)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de Ejecución de Código Remota de Visual Studio Code. Este ID de CVE es diferente de CVE-2021-28457, CVE-2021-28469, CVE-2021-28475, CVE-2021-28477
Gravedad CVSS v3.1: ALTA
Última modificación:
29/12/2023

Vulnerabilidad en Microsoft Exchange Server (CVE-2021-28482)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Exchange Server. Este ID de CVE es diferente de CVE-2021-28480, CVE-2021-28481, CVE-2021-28483
Gravedad CVSS v3.1: ALTA
Última modificación:
29/12/2023

Vulnerabilidad en Microsoft Exchange Server (CVE-2021-28481)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Exchange Server. Este ID de CVE es diferente de CVE-2021-28480, CVE-2021-28482, CVE-2021-28483
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/12/2023

Vulnerabilidad en Microsoft Exchange Server (CVE-2021-28480)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Exchange Server. Este ID de CVE es diferente de CVE-2021-28481, CVE-2021-28482, CVE-2021-28483
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/12/2023

Vulnerabilidad en Microsoft Exchange Server (CVE-2021-28483)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Exchange Server. Este ID de CVE es diferente de CVE-2021-28480, CVE-2021-28481, CVE-2021-28482
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
29/12/2023

Vulnerabilidad en Visual Studio Code Maven para Java Extension de Microsoft Windows (CVE-2021-28472)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de Ejecución de Código Remota de Visual Studio Code Maven para Java Extension
Gravedad CVSS v3.1: ALTA
Última modificación:
29/12/2023

Vulnerabilidad en Remote Development Extension de Visual Studio Code de Microsoft (CVE-2021-28471)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de Ejecución de Código Remota de Remote Development Extension para Visual Studio Code
Gravedad CVSS v3.1: ALTA
Última modificación:
29/12/2023

Vulnerabilidad en Visual Studio Code GitHub Pull Requests and Issues Extension (CVE-2021-28470)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de Ejecución de Código Remota de Visual Studio Code GitHub Pull Requests and Issues Extension
Gravedad CVSS v3.1: ALTA
Última modificación:
29/12/2023

Vulnerabilidad en el filtrado de contenido del repositorio en un bloque `pluginManagement` en un archivo de configuración en Gradle (CVE-2021-29427)
Fecha de publicación:
13/04/2021
Idioma:
Español
En Gradle desde versión 5.1 y anterior a la versión 7.0, se presenta una vulnerabilidad que puede conducir a la divulgación de información y/o envenenamiento por dependencia. El filtrado de contenido del repositorio es un control de seguridad que Gradle introdujo para ayudar a los usuarios a especificar qué repositorios se usan para resolver dependencias específicas. Esta función se introdujo a raíz de la publicación de blog "A Confusing Dependency". En algunos casos, Gradle puede ignorar los filtros de contenido y buscar dependencias en todos los repositorios. Esto solo ocurre cuando el filtrado de contenido del repositorio se usa dentro de un bloque `pluginManagement` en un archivo de configuración. Esto puede cambiar la forma en que se resuelven las dependencias para los plugins de Gradle y los scripts de compilación. Para las compilaciones que son vulnerables, existen dos riesgos: 1) Divulgación de información: Gradle podría realizar peticiones de dependencia a repositorios fuera de su organización y filtrar identificadores de paquetes internos. 2) Envenenamiento por Dependencia / Confusión de Dependencia: Gradle podría descargar un binario malicioso de un repositorio fuera de su organización debido a la ocupación ilegal de nombres. Para obtener un ejemplo completo y más detalles, consulte el Aviso de seguridad de GitHub al que se hace referencia. El problema se ha corregido y publicado con Gradle versión 7.0. Los usuarios que confían en esta función deben actualizar su compilación lo antes posible. Como solución alternativa, los usuarios pueden utilizar un repositorio de la empresa que tenga las reglas adecuadas para recuperar paquetes de repositorios públicos, o utilizar el filtrado de contenido del repositorio a nivel de proyecto, dentro de `buildscript.repositories`. Esta opción está disponible desde Gradle versión 5.1 cuando se introdujo la función
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2021

Vulnerabilidad en en sistemas similares a Unix en el directorio temporal del sistema en Gradle (CVE-2021-29428)
Fecha de publicación:
13/04/2021
Idioma:
Español
En Gradle versiones anteriores a 7.0, en sistemas similares a Unix, el directorio temporal del sistema puede ser creado con permisos abiertos que permiten a varios usuarios crear y eliminar archivos dentro de él. Las compilaciones de Gradle podrían ser vulnerables a una escalada de privilegios local de un atacante que elimine y vuelva a crear rápidamente archivos en el directorio temporal del sistema. Esta vulnerabilidad afectó las compilaciones que usan plugins de script precompilados escritos en Kotlin DSL y pruebas para plugins de Gradle escritos con ProjectBuilder o TestKit. Si tiene Windows o versiones modernas de macOS, no es vulnerable. Si está en un sistema operativo similar a Unix con el bit "sticky" configurado en el directorio temporal de su sistema, no es vulnerable. El problema se ha corregido y publicado con Gradle 7.0. Como solución alternativa, en sistemas operativos similares a Unix, asegúrese de que el bit "sticky" está establecido. Esto solo permite que el usuario original (o root) elimine un archivo. Si no puede cambiar los permisos del directorio temporal del sistema, puede mover el directorio temporal de Java configurando la propiedad del sistema `java.io.tmpdir`. La nueva ruta debe limitar los permisos solo al usuario de la compilación. Para obtener detalles adicionales, consulte el Aviso de Seguridad de GitHub al que se hace referencia
Gravedad CVSS v3.1: ALTA
Última modificación:
20/10/2021

Vulnerabilidad en Azure DevOps Server (CVE-2021-28459)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de Suplantación de Azure DevOps Server
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/12/2023

Vulnerabilidad en Visual Studio Code de Microsoft (CVE-2021-28457)
Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de Ejecución de Código Remota de Visual Studio Code. Este ID de CVE es diferente de CVE-2021-28469, CVE-2021-28473, CVE-2021-28475, CVE-2021-28477
Gravedad CVSS v3.1: ALTA
Última modificación:
29/12/2023
Suscribirse a Vulnerabilidades