Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los archivos de configuración XML en SAP EPM Add-in para Microsoft Office y SAP EPM Add-in para SAP Analysis Office (CVE-2021-21470)
Fecha de publicación:
12/01/2021
Idioma:
Español
SAP EPM Add-in para Microsoft Office, versión - 1010 y SAP EPM Add-in para SAP Analysis Office, versión - 2.8, permiten a un atacante autenticado con privilegios de usuario analizar archivos XML maliciosos que podrían resultar en ataques basados en XXE en aplicaciones que aceptan archivos de configuración XML controlados por atacantes. Esto ocurre porque el servicio de registro no deshabilita las entidades externas XML al analizar los archivos de configuración y una explotación con éxito podría resultar en un impacto limitado en la integridad y disponibilidad de la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/01/2021

Vulnerabilidad en control de acceso en los endpoints de API en CLA-Assistant (CVE-2021-21471)
Fecha de publicación:
12/01/2021
Idioma:
Español
En CLA-Assistant, versiones anteriores a 2.8.5, debido a un control de acceso inapropiado, un usuario autenticado podría acceder a endpoints de la API que no están destinados a ser usados por el usuario. Esto podría afectar la integridad de la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2021

Vulnerabilidad en la configuración del servidor MDS en SAP NetWeaver Master Data Management (CVE-2021-21469)
Fecha de publicación:
12/01/2021
Idioma:
Español
Cuando las pautas de seguridad para SAP NetWeaver Master Data Management que se ejecutan en Windows no han sido revisadas a fondo, puede ser posible que un operador externo intente establecer rutas personalizadas en la configuración del servidor MDS. Cuando no ha sido aplicada una protección adecuada en ningún nivel (p. Ej., La contraseña del servidor MDS no se ha establecido, la configuración de la red y del sistema operativo no está apropiadamente protegida, etc.), un usuario malicioso puede definir rutas UNC que luego podrían ser explotadas para poner el sistema en riesgo usando un llamado ataque de retransmisión SMB y obtener datos altamente confidenciales, lo que conlleva a una divulgación de información
Gravedad CVSS v3.1: ALTA
Última modificación:
10/02/2023

Vulnerabilidad en SAP Banking Services (Generic Market Data) (CVE-2021-21467)
Fecha de publicación:
12/01/2021
Idioma:
Español
SAP Banking Services (Generic Market Data) no llevan a cabo las comprobaciones de autorización necesarias para un usuario autenticado, resultando en una escalada de privilegios. Un Usuario no autorizado puede mostrar el Business Partner Generic Market Data (GMD) restringido debido a una comprobación de autorización inapropiada
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/10/2022

Vulnerabilidad en la interfaz de Base de Datos de BW (CVE-2021-21468)
Fecha de publicación:
12/01/2021
Idioma:
Español
La interfaz de Base de Datos de BW no lleva a cabo las comprobaciones de autorización necesarias para un usuario autenticado, resultando en una escalada de privilegios que permite al usuario leer prácticamente cualquier tabla de la base de datos
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/10/2022

Vulnerabilidad en las funciones file_get_contents() y file_put_contents() en Ignition usado en Laravel y otros productos (CVE-2021-3129)
Fecha de publicación:
12/01/2021
Idioma:
Español
Ignition versiones anteriores a 2.5.2, como es usado en Laravel y otros productos, permite a atacantes remotos no autenticados ejecutar código arbitrario debido a un uso no seguro de las funciones file_get_contents() y file_put_contents(). Esto es explotable en sitios que usan el modo de depuración con Laravel versiones anteriores a 8.4.2
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/11/2025

Vulnerabilidad en un archivo PCX en SAP 3D Visual Enterprise Viewer (CVE-2021-21463)
Fecha de publicación:
12/01/2021
Idioma:
Español
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo PCX manipulado recibido de fuentes no confiables, lo cual resulta en un bloqueo de la aplicación y que no esté disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación de Entrada Inapropiada
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2021

Vulnerabilidad en un archivo PCX en SAP 3D Visual Enterprise Viewer (CVE-2021-21462)
Fecha de publicación:
12/01/2021
Idioma:
Español
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo PCX manipulado recibido de fuentes no confiables, lo cual resulta en un bloqueo de la aplicación y que no esté disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación de Entrada Inapropiada
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2021

Vulnerabilidad en un archivo BMP en SAP 3D Visual Enterprise Viewer (CVE-2021-21461)
Fecha de publicación:
12/01/2021
Idioma:
Español
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo BMP manipulado recibido de fuentes no confiables, lo cual resulta en un bloqueo de la aplicación y que no esté disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación de Entrada Inapropiada
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2021

Vulnerabilidad en un archivo DIB en SAP 3D Visual Enterprise Viewer (CVE-2021-21460)
Fecha de publicación:
12/01/2021
Idioma:
Español
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo DIB manipulado recibido de fuentes no confiables, lo cual resulta en un bloqueo de la aplicación y que no esté disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación de Entrada Inapropiada
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2021

Vulnerabilidad en un archivo IFF en SAP 3D Visual Enterprise Viewer (CVE-2021-21459)
Fecha de publicación:
12/01/2021
Idioma:
Español
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo IFF manipulado recibido de fuentes no confiables, lo cual resulta en un bloqueo de la aplicación y que no esté disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación de Entrada Inapropiada
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2021

Vulnerabilidad en un archivo IFF en SAP 3D Visual Enterprise Viewer (CVE-2021-21458)
Fecha de publicación:
12/01/2021
Idioma:
Español
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo IFF manipulado recibido de fuentes no confiables, lo cual resulta en un bloqueo de la aplicación y que no esté disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación de Entrada Inapropiada
Gravedad CVSS v3.1: ALTA
Última modificación:
19/02/2021
Suscribirse a Vulnerabilidades