Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los productos IBM Jazz Team Server (CVE-2021-29786)
Fecha de publicación:
27/10/2021
Idioma:
Español
Los productos IBM Jazz Team Server almacenan las credenciales de usuario en texto sin cifrar que puede leer un usuario autenticado. IBM X-Force ID: 203172
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/11/2021

Vulnerabilidad en IBM i2 iBase (CVE-2021-29868)
Fecha de publicación:
27/10/2021
Idioma:
Español
IBM i2 iBase versiones 8.9.13 y 9.0.0, podría permitir a un atacante local conseguir información confidencial debido a una expiración de sesión insuficiente. IBM X-Force ID: 206213
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/11/2021

Vulnerabilidad en los productos IBM Jazz Team Server (CVE-2021-29774)
Fecha de publicación:
27/10/2021
Idioma:
Español
Los productos IBM Jazz Team Server podrían permitir a un usuario autenticado alcanzar privilegios elevados bajo determinadas configuraciones. IBM X-Force ID: 203025
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en las opciones account update y la opción customer create en Sourcecodester Customer Relationship Management System (CVE-2021-37221)
Fecha de publicación:
27/10/2021
Idioma:
Español
Se presenta una vulnerabilidad en la carga de archivos en Sourcecodester Customer Relationship Management System versión 1.0, por medio de la opción account update y la opción customer create, que podría permitir a un usuario remoto malicioso cargar un archivo php arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2021

Vulnerabilidad en el Hub en CFEngine Enterprise (CVE-2021-38379)
Fecha de publicación:
27/10/2021
Idioma:
Español
El Hub en CFEngine Enterprise versiones 3.6.7 hasta 3.18.0, presenta permisos no seguros que permiten una divulgación local de información
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2021

Vulnerabilidad en las peticiones REST HTTP con label_selectors en múltiples endpoints V3 en Cloud Controller (CVE-2021-22101)
Fecha de publicación:
27/10/2021
Idioma:
Español
Cloud Controller versiones anteriores a 1.118.0, son vulnerables a una vulnerabilidad de denegación de servicio (DoS) no autenticada que permite a atacantes no autenticados causar una denegación de servicio mediante el uso de peticiones REST HTTP con label_selectors en múltiples endpoints V3 al generar una enorme consulta SQL
Gravedad CVSS v3.1: ALTA
Última modificación:
29/10/2021

Vulnerabilidad en CFEngine Enterprise (CVE-2021-36756)
Fecha de publicación:
27/10/2021
Idioma:
Español
CFEngine Enterprise versiones 3.15.0 hasta 3.15.4, presenta una Falta de Comprobación de Certificado SSL
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2021

Vulnerabilidad en la configuración de inicio de la aplicación en Gradle Enterprise (CVE-2021-41619)
Fecha de publicación:
27/10/2021
Idioma:
Español
Se ha detectado un problema en Gradle Enterprise versiones anteriores a 2021.1.2. Se presenta una potencial ejecución de código remota por medio de la configuración de inicio de la aplicación. La interfaz de usuario de configuración de la instalación (disponible para los administradores) permite especificar opciones de inicio de la máquina virtual Java arbitrarias. Algunas de estas opciones, como -XX:OnOutOfMemoryError, permiten especificar un comando a ejecutar en el host. Esto puede ser abusado para ejecutar comandos arbitrarios en el host, si un atacante consigue acceso administrativo a la aplicación
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2021

Vulnerabilidad en el nodo de caché de construcción con la configuración por defecto en Gradle Enterprise (CVE-2021-41589)
Fecha de publicación:
27/10/2021
Idioma:
Español
En Gradle Enterprise versiones anteriores a 2021.3 (y Enterprise Build Cache Node versiones anteriores a 10.0), se presenta un potencial envenenamiento de la caché y ejecución remota de código cuando se ejecuta el nodo de caché de construcción con su configuración por defecto. Esta configuración permite un acceso anónimo a la interfaz de usuario de configuración y el acceso de escritura anónimo a la caché de construcción. Si el control de acceso a la caché de construcción no es cambiado de la configuración abierta por defecto, un actor malicioso con acceso a la red puede llenar la caché con entradas manipuladas que pueden ejecutar código malicioso como parte de un proceso de construcción. Esto es aplicado a la caché de compilación proporcionada con Gradle Enterprise y al servicio de nodo de caché de compilación separado, si es usado. Si el control de acceso a la interfaz de usuario no es cambiado de la configuración abierta por defecto, un actor malicioso puede deshacer el control de acceso a la caché de compilación para llenar la caché con entradas manipuladas que pueden ejecutar código malicioso como parte de un proceso de compilación. Esto no es aplicado a la caché de construcción proporcionada con Gradle Enterprise, pero es aplicado al servicio de nodo de caché de construcción independiente si es usado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/11/2021

Vulnerabilidad en una prueba de configuración SMTP en Gradle Enterprise (CVE-2021-41590)
Fecha de publicación:
27/10/2021
Idioma:
Español
En Gradle Enterprise versiones hasta 2021.3, el sondeo del entorno de red del lado del servidor puede ocurrir por medio de una prueba de configuración SMTP. La interfaz de usuario de configuración de la instalación disponible para los administradores permite probar la configuración del servidor SMTP. Esta función de prueba puede ser usada para identificar los puertos TCP de escucha disponibles para el servidor, revelando información sobre el entorno de red interno
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en el parámetro cid en el archivo complaint-details.php en Sourcecodester Complaint Management System (CVE-2020-24932)
Fecha de publicación:
27/10/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en Sourcecodester Complaint Management System versión 1.0, por medio del parámetro cid en el archivo complaint-details.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/03/2026

Vulnerabilidad en Skyworth Digital Technology Penguin Aurora Box (CVE-2021-41872)
Fecha de publicación:
27/10/2021
Idioma:
Español
Skyworth Digital Technology Penguin Aurora Box versión 41502, presenta una vulnerabilidad de denegación de servicio, que puede ser explotada por atacantes para causar una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
01/11/2021
Suscribirse a Vulnerabilidades