Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la biblioteca gray-matter en el paquete md-to-pdf (CVE-2021-23639)
Fecha de publicación:
10/12/2021
Idioma:
Español
El paquete md-to-pdf versiones anteriores a 5.0.0, es vulnerable a una Ejecución de Código Remota (RCE) debido al uso de la biblioteca gray-matter para analizar el contenido del front matter, sin deshabilitar el motor JS
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/12/2021

Vulnerabilidad en la función deepmerge( en el paquete sey (CVE-2021-23663)
Fecha de publicación:
10/12/2021
Idioma:
Español
Todas las versiones del paquete sey son vulnerables a una Contaminación de Prototipos por medio de la función deepmerge()
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/12/2021

Vulnerabilidad en snipe-it (CVE-2021-4089)
Fecha de publicación:
10/12/2021
Idioma:
Español
snipe-it es vulnerable al Control de Acceso Inapropiado
Gravedad CVSS v3.1: MEDIA
Última modificación:
09/08/2022

Vulnerabilidad en el objeto de clase org.h2.jdbc.JdbcSQLXML en el paquete com.h2database:h2 (CVE-2021-23463)
Fecha de publicación:
10/12/2021
Idioma:
Español
El paquete com.h2database:h2 a partir de la versión 1.4.198 y antes de la versión 2.0.202 son vulnerables a la Inyección de Entidades Externas XML (XXE) a través del objeto de clase org.h2.jdbc.JdbcSQLXML, cuando recibe datos de cadena analizados del método org.h2.jdbc.JdbcResultSet.getSQLXML(). Si ejecuta el método getSource() cuando el parámetro es DOMSource.class activará la vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/08/2023

Vulnerabilidad en Pluck (CVE-2021-27984)
Fecha de publicación:
10/12/2021
Idioma:
Español
En Pluck versión 4.7.15 admin background, se presenta una vulnerabilidad de ejecución de comandos remota cuando son subidos archivos
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2021

Vulnerabilidad en la página de documentos en MaxSite CMS (CVE-2021-27983)
Fecha de publicación:
10/12/2021
Idioma:
Español
Se presenta una vulnerabilidad de ejecución de código remota (RCE) en MaxSite CMS versión v107.5, por medio de la página de documentos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/12/2021

Vulnerabilidad en el archivo update_applet.php en Pluck (CVE-2021-31747)
Fecha de publicación:
10/12/2021
Idioma:
Español
Se presenta un problema de comprobación de certificados SSL en Pluck versión 4.7.15, en el archivo update_applet.php, que podría conllevar a ataques de tipo man-in-the-middle
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2021

Vulnerabilidad en archivos .md completamente en minúsculas o en mayúsculas en Grafana (CVE-2021-43813)
Fecha de publicación:
10/12/2021
Idioma:
Español
Grafana es una plataforma de código abierto para la monitorización y la observabilidad. Grafana versiones anteriores a 8.3.2 y 7.5.12, contiene una vulnerabilidad de salto de directorio para archivos .md completamente en minúsculas o en mayúsculas. La vulnerabilidad presenta un alcance limitado y sólo permite el acceso a los archivos con la extensión .md a usuarios autentificados. Las instancias de Grafana Cloud no han sido afectadas por la vulnerabilidad. Los usuarios deben actualizar a las versiones parcheadas 8.3.2 o 7.5.12. Para usuarios que no puedan actualizar, la ejecución de un proxy inverso frente a Grafana que normalice el PATH de la petición mitigará la vulnerabilidad. El proxy también tendrá que ser capaz de manejar rutas codificadas con url. Alternativamente, para archivos .md completamente en minúsculas o en mayúsculas, los usuarios pueden bloquear /api/plugins/.*/markdown/.* sin perder ninguna funcionalidad más allá del texto de ayuda del plugin alineado
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/03/2022

Vulnerabilidad en una llamada de IBMi Hypervisor en IBM PowerVM Hypervisor FW940, FW950 y FW1010 (CVE-2021-38937)
Fecha de publicación:
10/12/2021
Idioma:
Español
IBM PowerVM Hypervisor FW940, FW950 y FW1010, podría permitir a un usuario autenticado causar el bloqueo del sistema usando una llamada de IBMi Hypervisor especialmente diseñada. IBM X-Force ID: 210894
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/12/2021

Vulnerabilidad en IBM PowerVM Hypervisor FW860, FW940 y FW950 (CVE-2021-38917)
Fecha de publicación:
10/12/2021
Idioma:
Español
IBM PowerVM Hypervisor FW860, FW940 y FW950, podría permitir a un atacante que consiga acceso de servicio al FSP pueda leer y escribir en la memoria del sistema anfitrión de forma arbitraria mediante una serie de procedimientos de servicio cuidadosamente diseñados. IBM X-Force ID: 210018
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/12/2021

Vulnerabilidad en los archivos zip en Pluck-CMS Pluck (CVE-2021-31746)
Fecha de publicación:
10/12/2021
Idioma:
Español
Una vulnerabilidad de Zip Slip en Pluck-CMS Pluck versión 4.7.15, permite a un atacante cargar archivos zip especialmente diseñados, resultando en un salto de directorio y una ejecución potencial de código arbitrario
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/12/2021

Vulnerabilidad en el archivo login.php en Pluck-CMS Pluck (CVE-2021-31745)
Fecha de publicación:
10/12/2021
Idioma:
Español
Una vulnerabilidad de Fijación de Sesión en el archivo login.php en Pluck-CMS Pluck versión 4.7.15, permite a un atacante mantener el acceso no autorizado a la plataforma. Debido a que Pluck no invalida las sesiones anteriores después de un cambio de contraseña, el acceso puede mantenerse incluso después de que un administrador lleve a cabo intentos regulares de reparación, como el restablecimiento de su contraseña
Gravedad CVSS v3.1: ALTA
Última modificación:
14/12/2021
Suscribirse a Vulnerabilidades