Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el GitLab Workhorse en GitLab (CVE-2021-22190)
Fecha de publicación:
12/04/2021
Idioma:
Español
Una vulnerabilidad de salto ruta por medio del GitLab Workhorse en todas las versiones de GitLab podría resultar en la fuga de un token JWT
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2021

Vulnerabilidad en el almacenamiento de información en el archivo de registro en FortiADCManager (CVE-2021-24024)
Fecha de publicación:
12/04/2021
Idioma:
Español
Una vulnerabilidad de almacenamiento de texto sin cifrar de información confidencial en el archivo de registro en FortiADCManager versiones 5.3.0 y por debajo, versiones 5.2.1 y por debajo y FortiADC versiones 5.3.7 y por debajo puede permitir a un atacante autenticado remoto leer la contraseña de otros usuarios locales en los archivos de registro
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/04/2021

Vulnerabilidad en el perfil Web Vulnerability Scan de FortiWeb (CVE-2020-15942)
Fecha de publicación:
12/04/2021
Idioma:
Español
Una vulnerabilidad de divulgación de información en el perfil Web Vulnerability Scan de FortiWeb versiones 6.2.x por debajo de 6.2.4 de Fortinet y versiones 6.3.x por debajo de 6.3.5, puede permitir a un atacante autenticado remoto leer la contraseña utilizada por el escáner de FortiWeb para acceder al dispositivo definido en el perfil de escaneo
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en el envío de una petición PUT en el demonio HTTPD de FortiOS y FortiProxy (CVE-2019-17656)
Fecha de publicación:
12/04/2021
Idioma:
Español
Una vulnerabilidad de desbordamiento de búfer en la región stack de la memoria en el demonio HTTPD de FortiOS versiones 6.0.10 y por debajo, versiones 6.2.2 y por debajo y FortiProxy versiones 1.0.x, 1.1.x, 1.2.9 y por debajo, versiones 2.0.0 y por debajo, puede permitir a un atacante remoto autenticado bloquear el servicio mediante el envío de una petición PUT malformada hacia el servidor. Fortinet no tiene conocimiento de ninguna explotación con éxito de esta vulnerabilidad que podría conllevar a una ejecución de código
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/04/2021

Vulnerabilidad en la entrada del usuario en SiCKRAGE (CVE-2021-25925)
Fecha de publicación:
12/04/2021
Idioma:
Español
En SiCKRAGE, versiones 4.2.0 versiones hasta 10.0.11.dev1, son vulnerables a un ataque de tipo Cross-Site-Scripting (XSS) Almacenado, debido a que la entrada del usuario no está siendo comprobada apropiadamente cuando es procesada por el servidor. Por lo tanto, un atacante puede inyectar código JavaScript arbitrario dentro de la aplicación y posiblemente robar información confidencial de un usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en la funcionalidad "quicksearch" en SiCKRAGE (CVE-2021-25926)
Fecha de publicación:
12/04/2021
Idioma:
Español
En SiCKRAGE, versiones 9.3.54.dev1 versiones hasta 10.0.11.dev1, son vulnerables a un ataque de tipo Cross-Site-Scripting (XSS) Reflejado, debido a que la entrada del usuario no está siendo comprobada apropiadamente en la funcionalidad "quicksearch". Por lo tanto, un atacante puede robar el ID de sesión de un usuario para hacerse pasar por un usuario víctima, para llevar a cabo cualquier acción en el contexto del usuario
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/04/2025

Vulnerabilidad en la visita de un enlace en el plugin Patreon de WordPress (CVE-2021-24231)
Fecha de publicación:
12/04/2021
Idioma:
Español
El equipo de Jetpack Scan identificó una vulnerabilidad de tipo Cross-Site Request Forgery en el plugin Patreon de WordPress versiones anteriores a 1.7.0, permitiendo a un atacante hacer que un administrador registrado desconecte el sitio de Patreon al visitar un enlace especialmente diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/05/2021

Vulnerabilidad en la meta "wp_capabilities" en el plugin Patreon de WordPress (CVE-2021-24230)
Fecha de publicación:
12/04/2021
Idioma:
Español
El equipo de Jetpack Scan identificó una vulnerabilidad de tipo Cross-Site Request Forgery en el plugin Patreon de WordPress versiones anteriores a 1.7.0, permitiendo a un atacante hacer que un usuario registrado sobrescriba o cree metadatos de usuario arbitrarios en la cuenta de la víctima una vez visitada. Si se explota, este error se puede utilizar para sobrescribir la meta "wp_capabilities", que contiene los roles y privilegios de la cuenta de usuario afectada. Hacer esto esencialmente los bloquearía fuera del sitio, impidiéndoles acceder a contenido pago
Gravedad CVSS v3.1: ALTA
Última modificación:
04/05/2021

Vulnerabilidad en la acción AJAX patreon_save_attachment_patreon_level del plugin Patreon WordPress (CVE-2021-24229)
Fecha de publicación:
12/04/2021
Idioma:
Español
El equipo de Jetpack Scan identificó una vulnerabilidad de tipo Cross-Site Scripting Reflejado por medio de la acción AJAX patreon_save_attachment_patreon_level del plugin Patreon WordPress versiones anteriores a 1.7.2. Este enlace AJAX es utilizado para actualizar el nivel de compromiso requerido por los suscriptores de Patreon para acceder a un archivo adjunto determinado. Esta acción es accesible para cuentas de usuario con el privilegio "manage_options" (es decir, solo administradores). Desafortunadamente, uno de los parámetros utilizados en este endpoint AJAX no es saneado antes de volver a imprimirse al usuario, por lo que el riesgo que representa es el mismo que el de la vulnerabilidad XSS previo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/04/2021

Vulnerabilidad en el Formulario de Inicio de Sesión en el plugin Patreon WordPress (CVE-2021-24228)
Fecha de publicación:
12/04/2021
Idioma:
Español
El equipo de Jetpack Scan identificó una vulnerabilidad de tipo Cross-Site Scripting Reflejado en el Formulario de Inicio de Sesión en el plugin Patreon WordPress versiones anteriores a 1.7.2. El formulario de inicio de sesión de WordPress (wp-login.php) está conectado por el plugin y ofrece permitir a los usuarios autenticarse en el sitio utilizando su cuenta de Patreon. Desafortunadamente, parte de la lógica del registro de errores detrás de la escena permitió que la entrada controlada por el usuario sea reflejada en la página de inicio de sesión, sin sanear
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/04/2021

Vulnerabilidad en un endpoint de la API REST en el motor de optimización de imágenes Kraken en diversos plugins y temas de WordPress (CVE-2021-24220)
Fecha de publicación:
12/04/2021
Idioma:
Español
Thrive "Legacy" Rise by Thrive Themes de WordPress versiones anteriores a 2.0.0, Luxe para el tema Thrive Themes WordPress versiones anteriores a 2.0.0, Minus para el tema Thrive Themes WordPress versiones anteriores a 2.0.0, Ignition para el tema Thrive Themes WordPress versiones anteriores a 2.0.0, FocusBlog para el tema Thrive Themes WordPress versiones anteriores a 2.0.0, Squared para el tema Thrive Themes WordPress versiones anteriores a 2.0.0, el tema Voice WordPress versiones anteriores a 2.0.0, Performag para el tema Thrive Themes WordPress versiones anteriores a 2.0.0, Pressive para el tema Thrive Themes WordPress versiones anteriores a 2.0.0, Storied para el tema Thrive Themes WordPress versiones anteriores a 20.0, registra un endpoint de la API REST para comprimir imágenes utilizando el motor de optimización de imágenes Kraken. Al suministrar una petición diseñada en combinación con los datos insertados usando la vulnerabilidad de Actualización de Opciones, era posible utilizar este endpoint para recuperar código malicioso de una URL remota y sobrescribir un archivo existente en el sitio con él o crear un nuevo archivo. Esto incluye archivos PHP ejecutables que contienen código malicioso
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2021

Vulnerabilidad en el plugin WP-Curriculo Vitae Free WordPress (CVE-2021-24222)
Fecha de publicación:
12/04/2021
Idioma:
Español
El plugin WP-Curriculo Vitae Free WordPress versiones hasta 6.3, sufre de un problema de carga de archivo arbitrario en la página donde está insertado [formCadastro]. El formulario permite a un usuario no autenticado registrarse y enviar archivos para su foto de perfil, así como reanudar, sin ninguna restricción de extensión de archivo, conllevando a una vulnerabilidad de RCE
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/04/2021
Suscribirse a Vulnerabilidades