Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el parámetro Owner fullname en una petición de servicio de envío en vehicle_service en Sourcecodester Vehicle Service Management System (CVE-2021-41962)
Fecha de publicación:
16/12/2021
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) en Sourcecodester Vehicle Service Management System versión 1.0, por medio del parámetro Owner fullname en una petición de servicio de envío en vehicle_service
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2021

Vulnerabilidad en Galette (CVE-2021-41260)
Fecha de publicación:
16/12/2021
Idioma:
Español
Galette es una aplicación web de administración de socios construida para organizaciones sin ánimo de lucro y publicada bajo GPLv3. Las versiones anteriores a 0.9.6, no comprueban los ataques de tipo Cross Site Request Forgery. Se recomienda a todos los usuarios que actualicen a la versión 0.9.6 lo antes posible. No se presentan soluciones conocidas para este problema
Gravedad CVSS v3.1: ALTA
Última modificación:
22/12/2021

Vulnerabilidad en la herramienta de diagnóstico ping en FiberHome ONU GPON AN5506-04-F RP2617 (CVE-2021-42912)
Fecha de publicación:
16/12/2021
Idioma:
Español
FiberHome ONU GPON AN5506-04-F RP2617 está afectado por una vulnerabilidad de inyección de comandos del Sistema Operativo. Esta vulnerabilidad permite al atacante, una vez iniciada la sesión, enviar comandos al sistema operativo como usuario root por medio de la herramienta de diagnóstico ping, omitiendo el campo de la dirección IP y concatenando los comandos del Sistema Operativo con un punto y coma
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el componente UpdateServer de Bitdefender GravityZone (CVE-2021-3960)
Fecha de publicación:
16/12/2021
Idioma:
Español
Una vulnerabilidad de Limitación Inapropiada de un Nombre de Ruta a un Directorio Restringido ("Salto de Ruta") en el componente UpdateServer de Bitdefender GravityZone permite a un atacante ejecutar código arbitrario en instancias vulnerables. Este problema afecta a Bitdefender GravityZone versiones anteriores a 3.3.8.272
Gravedad CVSS v3.1: ALTA
Última modificación:
21/12/2021

Vulnerabilidad en el componente EPPUpdateService de Bitdefender Endpoint Security Tools (CVE-2021-3959)
Fecha de publicación:
16/12/2021
Idioma:
Español
Una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el componente EPPUpdateService de Bitdefender Endpoint Security Tools permite a un atacante enviar peticiones al servidor de retransmisión. Este problema afecta a: Bitdefender GravityZone versiones anteriores a 3.3.8.272
Gravedad CVSS v3.1: ALTA
Última modificación:
22/12/2021

Vulnerabilidad en janus-gateway (CVE-2021-4124)
Fecha de publicación:
16/12/2021
Idioma:
Español
janus-gateway es vulnerable a Neutralización Inapropiada de la Entrada Durante la Generación de la Página Web ("Cross-site Scripting")
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2021

Vulnerabilidad en la Barra de Direcciones URL en Safe Browser para iOS (CVE-2021-40835)
Fecha de publicación:
16/12/2021
Idioma:
Español
Se ha detectado una vulnerabilidad de suplantación de la Barra de Direcciones URL en Safe Browser para iOS. Cuando el usuario hace clic en una URL maliciosa especialmente diseñada, si el usuario no presta atención a la url, puede ser engañado para pensar que el contenido puede venir de un dominio válido, mientras que viene de otro. Esto se lleva a cabo al usar una parte del nombre de usuario muy larga en la url para que el usuario no pueda visualizar el nombre del dominio. Un atacante remoto puede aprovechar esto para llevar a cabo un ataque de suplantación de la barra de direcciones url. La corrección es que el navegador ya no muestra la parte del nombre de usuario en la barra de direcciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/01/2022

Vulnerabilidad en livehelperchat (CVE-2021-4123)
Fecha de publicación:
16/12/2021
Idioma:
Español
livehelperchat es vulnerable a un ataque de tipo Cross-Site Request Forgery (CSRF)
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2021

Vulnerabilidad en yetiforcecrm (CVE-2021-4121)
Fecha de publicación:
16/12/2021
Idioma:
Español
yetiforcecrm es vulnerable a una Neutralización Inapropiada de la Entrada Durante la Generación de la Página Web ("Cross-site Scripting")
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2021

Vulnerabilidad en el servicio addon.stdin en addon-ssh (CVE-2021-45099)
Fecha de publicación:
16/12/2021
Idioma:
Español
**EN DISPUTA** El servicio addon.stdin en addon-ssh (también se conoce como Home Assistant Community Add-on: SSH & Web Terminal) versiones anteriores a 10.0.0, presenta una superficie de ataque que requiere ingeniería social. NOTA: el proveedor no está de acuerdo en que esto sea una vulnerabilidad; sin embargo, addon.stdin fue eliminado como una medida de defensa en profundidad contra situaciones complejas de ingeniería social
Gravedad CVSS v3.1: ALTA
Última modificación:
04/08/2024

Vulnerabilidad en el servidor ksmbd usado en el kernel de Linux (CVE-2021-45100)
Fecha de publicación:
16/12/2021
Idioma:
Español
El servidor ksmbd versiones hasta 3.4.2, usado en el kernel de Linux hasta la versión 5.15.8, a veces se comunica en texto sin cifrar aunque se haya habilitado el cifrado. Esto ocurre porque establece la bandera SMB2_GLOBAL_CAP_ENCRYPTION cuando es usado el protocolo SMB 3.1.1, lo cual es una violación de la especificación del protocolo SMB. Cuando Windows 10 detecta esta violación del protocolo, deshabilita el cifrado
Gravedad CVSS v3.1: ALTA
Última modificación:
29/03/2022

Vulnerabilidad en HTCondor (CVE-2021-45102)
Fecha de publicación:
16/12/2021
Idioma:
Español
Se ha detectado un problema en HTCondor versiones 9.0.x anteriores a 9.0.4 y versiones 9.1.x anteriores a 9.1.2. Cuando es autenticado un demonio HTCondor usando un SciToken, un usuario puede recibir autorizaciones más allá de lo que el token debería permitir
Gravedad CVSS v3.1: ALTA
Última modificación:
22/12/2021
Suscribirse a Vulnerabilidades