Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el manejo de objetos U3D en archivos PDF en las instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27261)
Fecha de publicación:
30/03/2021
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D en archivos PDF. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de una estructura asignada. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-12269.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/04/2021

Vulnerabilidad en el manejo de objetos U3D insertados en archivos PDF en instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27262)
Fecha de publicación:
30/03/2021
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D insertados en archivos PDF. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-12270.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/04/2021

Vulnerabilidad en el manejo de objetos U3D insertados en archivos PDF en instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27263)
Fecha de publicación:
30/03/2021
Idioma:
Español
Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D insertados en archivos PDF. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-12290.
Gravedad CVSS v3.1: BAJA
Última modificación:
01/04/2021

Vulnerabilidad en la función exec child_process en el paquete kill-by-port (CVE-2021-23363)
Fecha de publicación:
30/03/2021
Idioma:
Español
Esto afecta al paquete kill-by-port versiones anteriores a 0.0.2. Si se proporciona una entrada de usuario (controlada por el atacante) para la función killByPort, es posible que un atacante ejecute comandos arbitrarios. Esto se debe al uso de la función exec child_process sin saneamiento de entrada.
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en el encabezado content-length en Nettyio (netty:netty-codec-http2) (CVE-2021-21409)
Fecha de publicación:
30/03/2021
Idioma:
Español
Netty es un framework de aplicación de red de código abierto y asíncrono event-driven para el desarrollo rápido de servidores y clientes de protocolo de alto rendimiento mantenibles. En Netty (io.netty:netty-codec-http2) versiones anteriores a 4.1.61.Final se presenta una vulnerabilidad que permite el trafico no autorizado de peticiones. El encabezado content-length no es comprobado correctamente si la petición solo usa un único Http2HeaderFrame con endStream establecido en verdadero. Esto podría conllevar al trafico no autorizado de peticiones si la petición se envía a un peer remoto y se traduce a HTTP/1.1. Este es un seguimiento de GHSA-wm47-8v5p-wjpj/CVE-2021-21295 que no pudo solucionar este caso. Esto se corrigió como parte de la versión 4.1.61.Final.
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en enlaces simbólicos en /tmp en el instalador de OpenVPN Connect para macOS (CVE-2020-15075)
Fecha de publicación:
30/03/2021
Idioma:
Español
El instalador de OpenVPN Connect para macOS versión 3.2.6 y anteriores, puede corromper archivos críticos del sistema a los que no debería tener acceso por medio de enlaces simbólicos en /tmp.
Gravedad CVSS v3.1: ALTA
Última modificación:
06/04/2021

Vulnerabilidad en la función del manejador de /goform/dir_setWanWifi en el parámetro statuscheckpppoeuser en D-link DIR-816 A2 (CVE-2021-26810)
Fecha de publicación:
30/03/2021
Idioma:
Español
D-link DIR-816 A2 versión v1.10 está afectado por una vulnerabilidad de inyección de código remoto. Se puede usar un parámetro de petición HTTP en la construcción de cadenas de comandos en la función del manejador de /goform/dir_setWanWifi, que puede conllevar a una inyección de comandos por medio de metacaracteres de shell en el parámetro statuscheckpppoeuser.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/07/2022

Vulnerabilidad en el script /admin/addbookmark.php en el campo Site Admin ) My Preferences ) Title en CMS Made Simple (CMSMS) (CVE-2021-28935)
Fecha de publicación:
30/03/2021
Idioma:
Español
CMS Made Simple (CMSMS) versión 2.2.15, permite un XSS autenticado por medio del script /admin/addbookmark.php a través del campo Site Admin ) My Preferences ) Title.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/06/2021

Vulnerabilidad en el parámetro "id" del archivo index.php en Ovidentia CMS (CVE-2021-29343)
Fecha de publicación:
30/03/2021
Idioma:
Español
Ovidentia CMS versiones 6.x, contiene una vulnerabilidad de inyección SQL en el parámetro "id" del archivo index.php. La propiedad "checkbox" en los datos "text" puede ser extraídos y mostrados en la región de texto o en el código fuente.
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/04/2021

Vulnerabilidad en su archivo de configuración global en el plugin de notificación y control de Jenkins Jabber (XMPP) (CVE-2021-21634)
Fecha de publicación:
30/03/2021
Idioma:
Español
El plugin de notificación y control de Jenkins Jabber (XMPP) versiones 1.41 y anteriores, almacena unas contraseñas sin cifrar en su archivo de configuración global en el controlador de Jenkins, donde pueden ser visualizadas por unos usuarios con acceso al sistema de archivos del controlador de Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023

Vulnerabilidad en una URL en Jenkins OWASP Dependency-Track Plugin (CVE-2021-21633)
Fecha de publicación:
30/03/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins OWASP Dependency-Track Plugin versiones 3.1.0 y anteriores, permite a atacantes conectarse a una URL especificada por un atacante, capturando credenciales almacenadas en Jenkins.
Gravedad CVSS v3.1: ALTA
Última modificación:
30/11/2023

Vulnerabilidad en una URL en Jenkins OWASP Dependency-Track Plugin (CVE-2021-21632)
Fecha de publicación:
30/03/2021
Idioma:
Español
Una falta de comprobación de permiso en Jenkins OWASP Dependency-Track Plugin versiones 3.1.0 y anteriores, permite a atacantes con permiso Overall/Read conectarse a una URL especificada por un atacante, capturando unas credenciales almacenadas en Jenkins.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2023
Suscribirse a Vulnerabilidades