Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la aplicación en Dell SRM y Dell SMR (CVE-2021-21524)
Fecha de publicación:
12/04/2021
Idioma:
Español
Dell SRM versiones anteriores a 4.5.0.1 y Dell SMR versiones anteriores a 4.5.0.1, contienen una vulnerabilidad de Deserialización No Confiable. Un atacante remoto no autenticado podría potencialmente explotar esta vulnerabilidad, conllevando una ejecución de código arbitraria privilegiada en la aplicación vulnerable. La gravedad es Crítica, ya que esto puede conllevar a comprometer el sistema por parte de atacantes no autenticados
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
22/04/2021

Vulnerabilidad en los archivos de copia de seguridad de la configuración en el archivo /backup/lispbx-CONF-YYYY-MM-DD.tar o /backup/lispbx-CDR-YYYY-MM-DD.tar en Liberty lisPBX (CVE-2019-15059)
Fecha de publicación:
12/04/2021
Idioma:
Español
En Liberty lisPBX versión 2.0-4, los archivos de copia de seguridad de la configuración pueden ser recuperados remotamente desde el archivo /backup/lispbx-CONF-YYYY-MM-DD.tar o /backup/lispbx-CDR-YYYY-MM-DD.tar sin autenticación ni autorización. Estos archivos de configuración contienen toda la información de la PBXl, incluyendo los números de extensión, los contactos y las contraseñas
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en los privilegios de usuario system en Dell Peripheral Manager (CVE-2021-21545)
Fecha de publicación:
12/04/2021
Idioma:
Español
Dell Peripheral Manager versiones 1.3.1 o superiores, contiene soluciones para una vulnerabilidad de escalada de privilegios local que podría potencialmente ser explotada para conseguir una ejecución de código arbitraria en el sistema con los privilegios de usuario system
Gravedad CVSS v3.1: ALTA
Última modificación:
26/04/2021

Vulnerabilidad en una dirección IPv6 en los enrutadores ASUS RT-AX3000, ZenWiFi AX (XT8), RT-AX88U y otros enrutadores ASUS (CVE-2021-3128)
Fecha de publicación:
12/04/2021
Idioma:
Español
En ASUS RT-AX3000, ZenWiFi AX (XT8), RT-AX88U y otros enrutadores ASUS con versiones de firmware anteriores a 3.0.0.4.386.42095 o versiones anteriores a 9.0.0.4.386.41994, cuando una IPv6 es usada, puede ocurrir un bucle de enrutamiento que genera un tráfico excesivo de red entre un dispositivo afectado y el enrutador de su ISP aguas arriba. Esto ocurre cuando una ruta de prefijo de enlace apunta a un enlace punto a punto, una dirección IPv6 de destino pertenece al prefijo y no es una dirección IPv6 local, y un anuncio de enrutador es recibido con al menos un prefijo IPv6 único global para el cual el flag on-link se establece
Gravedad CVSS v3.1: ALTA
Última modificación:
20/04/2021

Vulnerabilidad en una dirección IPv6 en diversos productos TP-Link (CVE-2021-3125)
Fecha de publicación:
12/04/2021
Idioma:
Español
En TP-Link TL-XDR3230 versiones anteriores a 1.0.12, TL-XDR1850 versiones anteriores a 1.0.9, TL-XDR1860 versiones anteriores a 1.0.14, TL-XDR3250 versiones anteriores a 1.0.2, TL-XDR6060 Turbo versiones anteriores a 1.1.8, TL-XDR5430 versiones anteriores a 1.0 .11, y posiblemente otros, cuando se utiliza IPv6, puede producirse un bucle de enrutamiento que genere un tráfico de red excesivo entre un dispositivo afectado y el enrutador de su ISP aguas arriba. Esto ocurre cuando una ruta de prefijo de enlace apunta a un enlace punto a punto, una dirección IPv6 de destino pertenece al prefijo y no es una dirección IPv6 local, y un anuncio de enrutador es recibido con al menos un prefijo IPv6 único global para el cual el flag on-link se establece
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en el envío de un mensaje en la red en el proceso httpd en el cuerpo del mensaje en TP-Link TL-WR802N (EE. UU.), Archer_C50v5_US v4_200 (CVE-2021-29302)
Fecha de publicación:
12/04/2021
Idioma:
Español
TP-Link TL-WR802N (EE. UU.), Archer_C50v5_US v4_200 versiones 2020.06 incluyéndola, contiene una vulnerabilidad de desbordamiento de búfer en el proceso httpd en el cuerpo del mensaje. El vector de ataque es: el atacante puede obtener el shell del enrutador mediante el envío de un mensaje por medio de la red, lo que puede conllevar a una ejecución de código remota
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en peticiones HTTP en el componente ECT Provider en OutSystems Platform Server (CVE-2021-29357)
Fecha de publicación:
12/04/2021
Idioma:
Español
El componente ECT Provider en OutSystems Platform Server versiones 10 anteriores a 10.0.1104.0 y versiones 11 anteriores a 11.9.0 (y la consola de administración de LifeTime versiones anteriores a 11.7.0) permite un ataque de tipo SSRF para peticiones HTTP salientes arbitrarias
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en una dirección IPv6 en el Sistema Operativo en Gargoyle (CVE-2021-23270)
Fecha de publicación:
12/04/2021
Idioma:
Español
En Gargoyle OS versión 1.12.0, cuando un IPv6 es usado, puede ocurrir un bucle de enrutamiento que genera un tráfico de red excesivo entre un dispositivo afectado y el enrutador de su ISP ascendente. Esto ocurre cuando una ruta de prefijo de enlace apunta a un enlace punto a punto, una dirección IPv6 de destino pertenece al prefijo y no es una dirección IPv6 local, y un anuncio de enrutador es recibido con al menos un prefijo IPv6 único global para el cual el flag on-link se establece
Gravedad CVSS v3.1: ALTA
Última modificación:
27/04/2021

Vulnerabilidad en GetWebInfo en pyActivity en Pega Platform (CVE-2020-15390)
Fecha de publicación:
12/04/2021
Idioma:
Español
pyActivity en Pega Platform versión 8.4.0.237, tiene una configuración inapropiada de seguridad que conlleva a una vulnerabilidad de control de acceso inapropiado por medio de =GetWebInfo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/04/2021

Vulnerabilidad en la interfaz de usuario web en los productos IBM Jazz Team Server (CVE-2021-20519)
Fecha de publicación:
12/04/2021
Idioma:
Español
Los productos IBM Jazz Team Server son vulnerables a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 198441
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2021

Vulnerabilidad en la interfaz de usuario web los productos IBM Jazz Team Server (CVE-2020-4920)
Fecha de publicación:
12/04/2021
Idioma:
Español
Los productos IBM Jazz Team Server son vulnerables a un ataque de tipo cross-site scripting almacenado. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 191396
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2021

Vulnerabilidad en un mensaje personalizado en la aplicación en los productos de IBM Jazz Team Server (CVE-2020-4964)
Fecha de publicación:
12/04/2021
Idioma:
Español
Los productos de IBM Jazz Team Server contienen una vulnerabilidad no revelada que podría permitir a un usuario autenticado presentar un mensaje personalizado en la aplicación que podría ser usado para hacer un ataque de phishing a otros usuarios. IBM X-Force ID: 192419
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2021
Suscribirse a Vulnerabilidades