Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un registro archivos de exportación administrador en el plugin Business Directory Plugin Easy Listing Directories para WordPress (CVE-2021-24249)
Fecha de publicación:
06/05/2021
Idioma:
Español
El plugin Business Directory Plugin Easy Listing Directories para WordPress versiones anteriores a 5.11.2, sufría un problema de tipo Cross-Site Request Forgery, permitiendo a un atacante hacer un registro archivos de exportación de administrador, que luego podían ser descargados por el atacante para obtener acceso a PII, como correo electrónico, direcciones de casa, etc
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la interfaz de administración de clúster en Cisco SD-WAN vManage Software (CVE-2021-1535)
Fecha de publicación:
06/05/2021
Idioma:
Español
Una vulnerabilidad en la interfaz de administración de clúster de Cisco SD-WAN vManage Software, podría permitir a un atacante remoto no autenticado visualizar información confidencial en un sistema afectado. Para estar afectado por esta vulnerabilidad, Cisco SD-WAN vManage Software debe estar en modo de clúster. Esta vulnerabilidad es debido a la ausencia de autenticación de información confidencial en la interfaz de administración del clúster. Un atacante podría explotar esta vulnerabilidad mediante el envío una petición diseñada a la interfaz de administración del clúster de un sistema afectado. Una explotación con éxito podría permitir al atacante visualizar información confidencial en el sistema afectado
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en los privilegios ISI_PRIV_LOGIN_SSH o ISI_PRIV_LOGIN_CONSOLE en Dell PowerScale OneFS (CVE-2021-21527)
Fecha de publicación:
06/05/2021
Idioma:
Español
Dell PowerScale OneFS versión 8.1.0-9.1.0, contienen una neutralización inapropiada de elementos especiales utilizados en una vulnerabilidad de comando del Sistema Operativo. Esta vulnerabilidad puede permitir a un usuario autenticado con privilegios ISI_PRIV_LOGIN_SSH o ISI_PRIV_LOGIN_CONSOLE escalar privilegios
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2021

Vulnerabilidad en los privilegios SI_PRIV_LOGIN_SSH o ISI_PRIV_LOGIN_CONSOLE en Dell EMC PowerScale OneFS (CVE-2021-21550)
Fecha de publicación:
06/05/2021
Idioma:
Español
Dell EMC PowerScale OneFS versión 8.1.0-9.1.0, contienen una neutralización inapropiada de elementos especiales utilizados en una vulnerabilidad de comando del Sistema Operativo. Esta vulnerabilidad puede permitir a un usuario autenticado con privilegios ISI_PRIV_LOGIN_SSH o ISI_PRIV_LOGIN_CONSOLE escalar privilegios
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2021

Vulnerabilidad en las carga de imágenes en los comentarios en el plugin Imagements de WordPress (CVE-2021-24236)
Fecha de publicación:
06/05/2021
Idioma:
Español
El plugin Imagements de WordPress versiones hasta 1.2.5, permite que las imágenes sean cargadas en los comentarios, sin embargo, solo comprueba el Content-Type en la petición para prohibir archivos peligrosos. Esto permite a atacantes no autenticados cargar archivos arbitrarios mediante el uso de una imagen válida Content-Type junto con un código y nombre de archivo PHP, conllevando a RCE
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
11/05/2021

Vulnerabilidad en las etiquetas HTML en el plugin Stop Spammers WordPress (CVE-2021-24245)
Fecha de publicación:
06/05/2021
Idioma:
Español
El plugin Stop Spammers WordPress versiones anteriores a 2021.9, no escapó de la entrada del usuario al bloquear peticiones (como hacer coincidir una palabra de spam), emitiéndolo en un atributo después de sanearlo para eliminar etiquetas HTML, lo cual no es suficiente y conlleva a un problema de tipo Cross-Site Scripting Reflejado
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/05/2021

Vulnerabilidad en una cuenta iDRAC en Dell EMC Integrated System for Microsoft Azure Stack Hub (CVE-2021-21505)
Fecha de publicación:
06/05/2021
Idioma:
Español
Dell EMC Integrated System for Microsoft Azure Stack Hub, versiones 1906-2011, contiene una cuenta iDRAC predeterminada sin documentar. Un atacante remoto no autenticado, con el conocimiento de las credenciales predeterminadas, podría potencialmente explotar esto para iniciar sesión en el sistema y obtener privilegios de root
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/10/2022

Vulnerabilidad en el archivo de imagen en las cuentas de administrador en el plugin Event Banner WordPress (CVE-2021-24252)
Fecha de publicación:
06/05/2021
Idioma:
Español
El plugin Event Banner WordPress versiones hasta 1.3, no verifica el archivo de imagen cargado, permitiendo que las cuentas de administrador cargar archivos arbitrarios, como .exe, .php u otros ejecutables, conllevando a RCE. Debido a una falta de comprobación CSRF, el problema también puede ser utilizado por medio de dicho vector para lograr el mismo resultado, o por medio de un LFI, ya que faltan las comprobaciones de autorización (pero requeriría WP que sea cargado)
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2022

Vulnerabilidad en los archivos importados en un enfoque de blacklist en un archivo con un .php4 en el plugin Business Directory - Easy Listing Directories para WordPress (CVE-2021-24248)
Fecha de publicación:
06/05/2021
Idioma:
Español
El plugin Business Directory - Easy Listing Directories para WordPress versiones anteriores a 5.11.1, no comprobaba apropiadamente los archivos importados, lo que prohibía determinadas extensiones por medio de un enfoque de blacklist, permitiendo al administrador importar un archivo con un .php4 adentro, por ejemplo, conllevando a un RCE
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el plugin Business Directory: Easy Listing Directories para WordPress (CVE-2021-24251)
Fecha de publicación:
06/05/2021
Idioma:
Español
El plugin Business Directory: Easy Listing Directories para WordPress versiones anteriores a 5.11.2, sufría un problema de tipo Cross-Site Request Forgery, permitiendo a un atacante hacer que un administrador iniciado sesión actualizara el historial de pagos arbitrario, como cambiar su estado (de pendiente para completar por ejemplo)
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la configuración del plugin Contact Form Check Tester WordPress (CVE-2021-24247)
Fecha de publicación:
06/05/2021
Idioma:
Español
La configuración del plugin Contact Form Check Tester WordPress versiones hasta 1.0.2, es visible para todos los usuarios registrados en el tablero y carece de saneamiento. Como resultado, cualquier usuario registrado, como el suscriptor, puede dejar una carga útil XSS en la configuración del plugin, que será activada por cualquier usuario que los visite y podría permitir una escalada de privilegios. El proveedor decidió cerrar el plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/12/2021

Vulnerabilidad en la CLI en el sistema de administración de cuentas de usuario de Cisco AsyncOS para Cisco Content Security Management Appliance (SMA) (CVE-2021-1447)
Fecha de publicación:
06/05/2021
Idioma:
Español
Una vulnerabilidad en el sistema de administración de cuentas de usuario de Cisco AsyncOS para Cisco Content Security Management Appliance (SMA) podría permitir a un atacante local autenticado elevar sus privilegios a root. Esta vulnerabilidad es debido a un fallo de procedimiento en el algoritmo de generación de contraseñas. Un atacante podría explotar esta vulnerabilidad habilitando funciones específicas solo para administradores y conectándose al dispositivo por medio de la CLI con privilegios elevados. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios como root y acceder al sistema operativo subyacente. Para explotar esta vulnerabilidad, el atacante debe tener credenciales de administrador válidas
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades