Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en etiquetas [correo electrónico] anidadas con MyCode en MyBB (CVE-2021-27279)
Fecha de publicación:
22/02/2021
Idioma:
Español
MyBB versiones anteriores a 1.8.25, permite un ataque de tipo XSS almacenado por medio de etiquetas [correo electrónico] anidadas con MyCode (también se conoce como BBCode)
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2021

Vulnerabilidad en el componente de aplicación VoiceCommandActivity en la aplicación "Tasks" (CVE-2020-22475)
Fecha de publicación:
22/02/2021
Idioma:
Español
La aplicación "Tasks" versiones anteriores a 9.7.3, está afectada por permisos no seguros. El componente de aplicación VoiceCommandActivity permite a aplicaciones arbitrarias en un dispositivo agregar tareas sin restricciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2021

Vulnerabilidad en la pantalla Settings > Device en Genymotion Desktop (CVE-2021-27549)
Fecha de publicación:
22/02/2021
Idioma:
Español
** EN DISPUTA ** Genymotion Desktop versiones hasta 3.2.0, filtra los datos del portapapeles del host a la aplicación de Android por defecto. NOTA: la posición del proveedor es que este es un comportamiento previsto que se puede cambiar por medio de la pantalla Settings > Device
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/08/2024

Vulnerabilidad en la biblioteca lib/auth.js en las funciones de la API User/Admin/Super en un URI /super/constructor /accounts/list en Shinobi (CVE-2021-27228)
Fecha de publicación:
22/02/2021
Idioma:
Español
Se detectó un problema en Shinobi versiones hasta Ocean versión 1. La biblioteca lib/auth.js presenta un Control de Acceso Incorrecto. Las claves de API válidas son guardadas en un objeto JS interno. Por lo tanto, un atacante puede usar nombres del JS Proto Method (como constructor o hasOwnProperty) para convencer al sistema de que la API Key suministrada existe en el objeto JS subyacente y, en consecuencia, lograr un acceso completo a las funciones de la API User/Admin/Super, como es demostrado por un URI /super/constructor /accounts/list
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/02/2021

Vulnerabilidad en la sección de grupos de la pestaña de red en Appspace (CVE-2021-27564)
Fecha de publicación:
22/02/2021
Idioma:
Español
Se presenta un problema de tipo XSS almacenado en Appspace versión 6.2.4. Después de que un usuario se autentique e introduzca una carga útil XSS en la sección de grupos de la pestaña de red, es almacenada como el nombre del grupo. Cada vez que otro miembro visita ese grupo, esta carga útil es ejecutada
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/02/2021

Vulnerabilidad en el archivo ManualContents.php en el parámetro "Language" en webERP (CVE-2020-22474)
Fecha de publicación:
22/02/2021
Idioma:
Español
En webERP versión 4.15, el archivo ManualContents.php permite a usuarios especificar el parámetro "Language", que puede conllevar a una inclusión del archivo local
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en un archivo de almacenamiento en Yz1 usado en IZArc, ZipGenius y Explzh (CVE-2020-24175)
Fecha de publicación:
22/02/2021
Idioma:
Español
Un desbordamiento del búfer en Yz1 versiones 0.30 y 0.32, como es usado en IZArc versión 4.4, ZipGenius versión 6.3.2.3116 y Explzh (extensión) versión 8.14, permite a atacantes ejecutar código arbitrario por medio de un archivo de almacenamiento diseñado, relacionado con el manejo de nombres de archivo
Gravedad CVSS v3.1: ALTA
Última modificación:
27/02/2021

Vulnerabilidad en el campo Description en la página Contact en Monica (CVE-2021-27371)
Fecha de publicación:
22/02/2021
Idioma:
Español
La página Contact en Monica versión 2.19.1, permite un ataque de tipo XSS almacenado por medio del campo Description
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2021

Vulnerabilidad en el campo Nickname en la página Contact en Monica (CVE-2021-27559)
Fecha de publicación:
22/02/2021
Idioma:
Español
La página Contact en Monica versión 2.19.1, permite un ataque de tipo XSS almacenado por medio del campo Nickname
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2021

Vulnerabilidad en el campo Last Name en la página Contact en Monica (CVE-2021-27370)
Fecha de publicación:
22/02/2021
Idioma:
Español
La página Contact en Monica versión 2.19.1, permite un ataque de tipo XSS almacenado por medio del campo Last Name
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2021

Vulnerabilidad en el parámetro ywgc-upload-picture en el plugin YITH WooCommerce Gift Cards Premium (CVE-2021-3120)
Fecha de publicación:
22/02/2021
Idioma:
Español
Una vulnerabilidad de carga de archivos arbitraria en el plugin YITH WooCommerce Gift Cards Premium versiones anteriores a 3.3.1, para WordPress, permite a atacantes remotos lograr una ejecución de código remota en el sistema operativo en el contexto de seguridad del servidor web. A fin de explotar esta vulnerabilidad, un atacante debe poder colocar una Tarjeta de Regalo válida en el carrito de compras. Un archivo cargado se coloca en una ruta predeterminada en el servidor web con un nombre de archivo y una extensión especificados por el usuario. Esto ocurre porque el parámetro ywgc-upload-picture puede tener un valor .php aunque la intención era permitir solo la carga de imágenes de Tarjetas de Regalo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
01/02/2023

Vulnerabilidad en el campo First Name en la página Contact en Monica (CVE-2021-27368)
Fecha de publicación:
22/02/2021
Idioma:
Español
La página Contact en Monica versión 2.19.1, permite un ataque de tipo XSS almacenado por medio del campo First Name
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/02/2021
Suscribirse a Vulnerabilidades