Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en SP4 en Advanced Authentication (CVE-2021-22497)
Fecha de publicación:
12/04/2021
Idioma:
Español
Advanced Authentication versiones anteriores a 6.3, SP4, presentan una posible autenticación rota debido a un problema de administración de sesión inapropiada
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en un campo de texto en el editor HTML de Slab Quill (CVE-2021-3163)
Fecha de publicación:
12/04/2021
Idioma:
Español
** EN DISPUTA ** Una vulnerabilidad en el editor HTML de Slab Quill versión 4.8.0, permite a un atacante ejecutar JavaScript arbitrario almacenando una carga útil XSS (un atributo onloadstart diseñado de un elemento IMG) en un campo de texto. Nota: Los investigadores han afirmado que este problema no está dentro del propio producto, sino que es un comportamiento previsto en un navegador web.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/08/2024

Vulnerabilidad en comprobación de entrada de algunos parámetros en los endpoints en Synapse de referencia de Matrix en python (CVE-2021-21394)
Fecha de publicación:
12/04/2021
Idioma:
Español
Synapse es un servidor doméstico de referencia de Matrix escrito en python (paquete pypi matrix-synapse). Matrix es un ecosistema para Mensajería Instantánea y Volp federada abierta. En Synapse anterior a versión 1.28.0 Synapse presenta una falta de comprobación de entrada de algunos parámetros en los endpoints utilizados para confirmar que identificadores de terceros podrían causar un uso excesivo del espacio en disco y la memoria conllevando a un agotamiento de los recursos. Tome en cuenta que la funcionalidad de grupos no forma parte de la especificación de Matrix y que las longitudes máximas elegidas son arbitrarias. No todos los clientes pueden acatarlos. Consulte el aviso de seguridad de GitHub al que se hace referencia para obtener detalles adicionales, incluyendo las soluciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la aplicación en Dell SRM y Dell SMR (CVE-2021-21524)
Fecha de publicación:
12/04/2021
Idioma:
Español
Dell SRM versiones anteriores a 4.5.0.1 y Dell SMR versiones anteriores a 4.5.0.1, contienen una vulnerabilidad de Deserialización No Confiable. Un atacante remoto no autenticado podría potencialmente explotar esta vulnerabilidad, conllevando una ejecución de código arbitraria privilegiada en la aplicación vulnerable. La gravedad es Crítica, ya que esto puede conllevar a comprometer el sistema por parte de atacantes no autenticados
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2021

Vulnerabilidad en los archivos de copia de seguridad de la configuración en el archivo /backup/lispbx-CONF-YYYY-MM-DD.tar o /backup/lispbx-CDR-YYYY-MM-DD.tar en Liberty lisPBX (CVE-2019-15059)
Fecha de publicación:
12/04/2021
Idioma:
Español
En Liberty lisPBX versión 2.0-4, los archivos de copia de seguridad de la configuración pueden ser recuperados remotamente desde el archivo /backup/lispbx-CONF-YYYY-MM-DD.tar o /backup/lispbx-CDR-YYYY-MM-DD.tar sin autenticación ni autorización. Estos archivos de configuración contienen toda la información de la PBXl, incluyendo los números de extensión, los contactos y las contraseñas
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en los privilegios de usuario system en Dell Peripheral Manager (CVE-2021-21545)
Fecha de publicación:
12/04/2021
Idioma:
Español
Dell Peripheral Manager versiones 1.3.1 o superiores, contiene soluciones para una vulnerabilidad de escalada de privilegios local que podría potencialmente ser explotada para conseguir una ejecución de código arbitraria en el sistema con los privilegios de usuario system
Gravedad CVSS v3.1: ALTA
Última modificación:
26/04/2021

Vulnerabilidad en una dirección IPv6 en los enrutadores ASUS RT-AX3000, ZenWiFi AX (XT8), RT-AX88U y otros enrutadores ASUS (CVE-2021-3128)
Fecha de publicación:
12/04/2021
Idioma:
Español
En ASUS RT-AX3000, ZenWiFi AX (XT8), RT-AX88U y otros enrutadores ASUS con versiones de firmware anteriores a 3.0.0.4.386.42095 o versiones anteriores a 9.0.0.4.386.41994, cuando una IPv6 es usada, puede ocurrir un bucle de enrutamiento que genera un tráfico excesivo de red entre un dispositivo afectado y el enrutador de su ISP aguas arriba. Esto ocurre cuando una ruta de prefijo de enlace apunta a un enlace punto a punto, una dirección IPv6 de destino pertenece al prefijo y no es una dirección IPv6 local, y un anuncio de enrutador es recibido con al menos un prefijo IPv6 único global para el cual el flag on-link se establece
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2021

Vulnerabilidad en una dirección IPv6 en diversos productos TP-Link (CVE-2021-3125)
Fecha de publicación:
12/04/2021
Idioma:
Español
En TP-Link TL-XDR3230 versiones anteriores a 1.0.12, TL-XDR1850 versiones anteriores a 1.0.9, TL-XDR1860 versiones anteriores a 1.0.14, TL-XDR3250 versiones anteriores a 1.0.2, TL-XDR6060 Turbo versiones anteriores a 1.1.8, TL-XDR5430 versiones anteriores a 1.0 .11, y posiblemente otros, cuando se utiliza IPv6, puede producirse un bucle de enrutamiento que genere un tráfico de red excesivo entre un dispositivo afectado y el enrutador de su ISP aguas arriba. Esto ocurre cuando una ruta de prefijo de enlace apunta a un enlace punto a punto, una dirección IPv6 de destino pertenece al prefijo y no es una dirección IPv6 local, y un anuncio de enrutador es recibido con al menos un prefijo IPv6 único global para el cual el flag on-link se establece
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en el envío de un mensaje en la red en el proceso httpd en el cuerpo del mensaje en TP-Link TL-WR802N (EE. UU.), Archer_C50v5_US v4_200 (CVE-2021-29302)
Fecha de publicación:
12/04/2021
Idioma:
Español
TP-Link TL-WR802N (EE. UU.), Archer_C50v5_US v4_200 versiones 2020.06 incluyéndola, contiene una vulnerabilidad de desbordamiento de búfer en el proceso httpd en el cuerpo del mensaje. El vector de ataque es: el atacante puede obtener el shell del enrutador mediante el envío de un mensaje por medio de la red, lo que puede conllevar a una ejecución de código remota
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en peticiones HTTP en el componente ECT Provider en OutSystems Platform Server (CVE-2021-29357)
Fecha de publicación:
12/04/2021
Idioma:
Español
El componente ECT Provider en OutSystems Platform Server versiones 10 anteriores a 10.0.1104.0 y versiones 11 anteriores a 11.9.0 (y la consola de administración de LifeTime versiones anteriores a 11.7.0) permite un ataque de tipo SSRF para peticiones HTTP salientes arbitrarias
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en una dirección IPv6 en el Sistema Operativo en Gargoyle (CVE-2021-23270)
Fecha de publicación:
12/04/2021
Idioma:
Español
En Gargoyle OS versión 1.12.0, cuando un IPv6 es usado, puede ocurrir un bucle de enrutamiento que genera un tráfico de red excesivo entre un dispositivo afectado y el enrutador de su ISP ascendente. Esto ocurre cuando una ruta de prefijo de enlace apunta a un enlace punto a punto, una dirección IPv6 de destino pertenece al prefijo y no es una dirección IPv6 local, y un anuncio de enrutador es recibido con al menos un prefijo IPv6 único global para el cual el flag on-link se establece
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2021

Vulnerabilidad en GetWebInfo en pyActivity en Pega Platform (CVE-2020-15390)
Fecha de publicación:
12/04/2021
Idioma:
Español
pyActivity en Pega Platform versión 8.4.0.237, tiene una configuración inapropiada de seguridad que conlleva a una vulnerabilidad de control de acceso inapropiado por medio de =GetWebInfo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/04/2021
Suscribirse a Vulnerabilidades