Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en eLabFTW (CVE-2021-43834)
Fecha de publicación:
16/12/2021
Idioma:
Español
eLabFTW es un administrador de cuadernos de laboratorio electrónicos para equipos de investigación. En versiones anteriores a 4.2.0, se presenta una vulnerabilidad que permite a un atacante autenticarse como un usuario existente, si ese usuario fue creado usando una opción de autenticación de inicio de sesión único como LDAP o SAML. Afecta a los casos en los que se usa LDAP o SAML para la autenticación en lugar del mecanismo de contraseña local (por defecto). Los usuarios deben actualizar al menos a la versión 4.2.0
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/12/2021

Vulnerabilidad en la función parseOrder en el archivo Builder.php en ThinkPHP5 (CVE-2021-44350)
Fecha de publicación:
15/12/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en ThinkPHP5 versiones 5.0.x anteriores a 5.1.22 incluyéndola, por medio de la función parseOrder en el archivo Builder.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
20/12/2021

Vulnerabilidad en una búsqueda en Google en url:/catfishcms/index.php/admin/Index/addmenu.htmland en Catfish (CVE-2021-45018)
Fecha de publicación:
15/12/2021
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) en Catfish versiones anteriores a 6.3.0 incluyéndola, por medio de una búsqueda en Google en url:/catfishcms/index.php/admin/Index/addmenu.htmland luego el archivo .html en el sitio web que usa este editor (el sufijo del archivo está permitido)
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2021

Vulnerabilidad en el componente zimbraAdmin/public/secureRequest.jsp de Zimbra Collaboration (CVE-2020-18984)
Fecha de publicación:
15/12/2021
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) reflejada en el componente zimbraAdmin/public/secureRequest.jsp de Zimbra Collaboration versión 8.8.12, permite a atacantes no autenticados ejecutar scripts web o HTML arbitrarios por medio de una inyección del encabezado de host
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2021

Vulnerabilidad en /domain/service/.ewell-known/caldav de Zimbra Collaboration (CVE-2020-18985)
Fecha de publicación:
15/12/2021
Idioma:
Español
Un problema en /domain/service/.ewell-known/caldav de Zimbra Collaboration versión 8.8.12, permite a atacantes redirigir a usuarios a cualquier sitio web arbitrario de su elección
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2021

Vulnerabilidad en un archivo html que contiene CSRF en el sitio web que usa un editor de google en Catfish (CVE-2021-45017)
Fecha de publicación:
15/12/2021
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en Catfish versiones anteriores a 6.1.* incluyéndola, cuando se carga un archivo html que contiene CSRF en el sitio web que usa un editor de google; es posible especificar la dirección url del menú como su dirección url maliciosa en la columna Add Menu
Gravedad CVSS v3.1: ALTA
Última modificación:
20/12/2021

Vulnerabilidad en el archivo posts.php en Anchor CMS (CVE-2021-44116)
Fecha de publicación:
15/12/2021
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) en Anchor CMS versiones anteriores a 0.12.7 incluyéndola, en el archivo posts.php. Los atacantes pueden usar la columna posts para cargar el título y el contenido que contiene código malicioso para lograr el propósito de obtener la cookie del administrador, logrando así otras operaciones maliciosas
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/12/2021

Vulnerabilidad en Thruk (CVE-2021-35490)
Fecha de publicación:
15/12/2021
Idioma:
Español
Thruk versión 2.44 permite una vulnerabilidad de tipo XSS almacenado
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/04/2022

Vulnerabilidad en el archivo stabs.c en la función stab_xcoff_builtin_type en GNU Binutils (CVE-2021-45078)
Fecha de publicación:
15/12/2021
Idioma:
Español
La función stab_xcoff_builtin_type en el archivo stabs.c en GNU Binutils versiones hasta 2.37, permite a atacantes causar una denegación de servicio (desbordamiento de búfer basado en la pila) o posiblemente tener otro impacto no especificado, como lo demuestra una escritura fuera de límites. NOTA: este problema se presenta debido a una corrección incorrecta de CVE-2018-12699
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el software FatPipe WARP, IPVPN y MPVPN (CVE-2021-27856)
Fecha de publicación:
15/12/2021
Idioma:
Español
El software FatPipe WARP, IPVPN y MPVPN versiones anteriores a 10.1.2r60p91 y 10.2.2r42, incluye una cuenta llamada "cmuser" que tiene privilegios administrativos y no presenta contraseña. Las versiones más antiguas del software FatPipe también pueden ser vulnerables. El identificador de asesoramiento de FatPipe para esta vulnerabilidad es FPSA002
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/07/2022

Vulnerabilidad en las rutas de los archivos en Gradio (CVE-2021-43831)
Fecha de publicación:
15/12/2021
Idioma:
Español
Gradio es un marco de trabajo de código abierto para la construcción de modelos y demostraciones interactivas de aprendizaje automático. En las versiones anteriores a 2.5.0, se presenta una vulnerabilidad que afecta a cualquiera que cree y comparta públicamente interfaces de Gradio. Las rutas de los archivos no están restringidas y los usuarios que reciben un enlace de Gradio pueden acceder a cualquier archivo del ordenador anfitrión si conocen los nombres o las rutas de los archivos. Esto está limitado únicamente por el sistema operativo del host. Las rutas son abiertas en modo de sólo lectura. El problema ha sido parcheado en gradio versión 2.5.0
Gravedad CVSS v3.1: ALTA
Última modificación:
21/12/2021

Vulnerabilidad en la configuración del usuario en Tuleap (CVE-2021-43806)
Fecha de publicación:
15/12/2021
Idioma:
Español
Tuleap es una herramienta libre y de código abierto para la trazabilidad de extremo a extremo de los desarrollos de aplicaciones y sistemas. En las versiones afectadas, Tuleap no sanea correctamente la configuración del usuario cuando construye la consulta SQL para navegar y buscar commits en los repositorios CVS. Un usuario malicioso autenticado con acceso de lectura a un repositorio CVS podría ejecutar consultas SQL arbitrarias. Las instancias de Tuleap sin repositorios CVS activos no están afectadas. Las siguientes versiones contienen la corrección: Tuleap Community Edition versión 13.2.99.155, Tuleap Enterprise Edition versión 13.1-7, y Tuleap Enterprise Edition versión 13.2-6
Gravedad CVSS v3.1: ALTA
Última modificación:
21/12/2021
Suscribirse a Vulnerabilidades