Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los encabezados en la página del proyecto en GitLab (CVE-2021-22167)
Fecha de publicación:
15/01/2021
Idioma:
Español
Se ha detectado un problema en GitLab afectando a todas las versiones desde la 12.1. Los encabezados incorrectos en la página del proyecto específico permiten a un atacante tener un acceso de lectura temporal al repositorio privado
Gravedad CVSS v3.1: ALTA
Última modificación:
22/01/2021

Vulnerabilidad en una expresión regular en la API de NuGet en GitLab (CVE-2021-22168)
Fecha de publicación:
15/01/2021
Idioma:
Español
Se ha detectado un problema de denegación de servicio de una expresión regular en la API de NuGet afectando a todas las versiones de GitLab desde la versión 12.8
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2021

Vulnerabilidad en los parámetros de autenticación en GitLab Pages para GitLab (CVE-2021-22171)
Fecha de publicación:
15/01/2021
Idioma:
Español
Una comprobación insuficiente de los parámetros de autenticación en GitLab Pages para GitLab versiones 11.5+, permite a un atacante robar el token de la API de una víctima si hace clic en un enlace diseñado con fines maliciosos
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2021

Vulnerabilidad en la expresión regular en los nombres de paquetes en GitLab (CVE-2020-26414)
Fecha de publicación:
15/01/2021
Idioma:
Español
Se ha detectado un problema en GitLab afectando a todas las versiones desde 12.4. La expresión regular utilizada para los nombres de paquetes está escrita de una manera que hace que el tiempo de ejecución tenga un crecimiento cuadrático en la longitud de la cadena de entrada maliciosa
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/01/2021

CVE-2021-20189
Fecha de publicación:
15/01/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en un Schedule Name en SolarWinds Web Help Desk (CVE-2019-16961)
Fecha de publicación:
15/01/2021
Idioma:
Español
SolarWinds Web Help Desk versión 12.7.0, permite un ataque de tipo XSS por medio de un Schedule Name
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/01/2021

Vulnerabilidad en una cadena de certificados X.509 en la aplicación ssl en Erlang/OTP (CVE-2020-35733)
Fecha de publicación:
15/01/2021
Idioma:
Español
Se detectó un problema en Erlang/OTP versiones anteriores a 23.2.2. La aplicación ssl versión 10.2, acepta y confía en una cadena de certificados X.509 no válida para una Autoridad de Certificación root confiable
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en el parámetro del cuerpo de una petición HTTP prefs_smtp_psw para la interfaz acp en flatCore (CVE-2021-23836)
Fecha de publicación:
15/01/2021
Idioma:
Español
Se detectó un problema en flatCore versiones anteriores a 2.0.0 build 139. Se identificó una vulnerabilidad de tipo XSS almacenado en el parámetro del cuerpo de una petición HTTP prefs_smtp_psw para la interfaz acp. Un usuario administrador puede inyectar un script malicioso del lado del cliente en el parámetro afectado sin ningún tipo de saneamiento de la entrada. La carga útil inyectada será ejecutada en el navegador de un usuario cada vez que visite la página del módulo afectado
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2021

Vulnerabilidad en el parámetro del cuerpo una petición HTTP selected_folder para la interfaz acp en flatCore (CVE-2021-23837)
Fecha de publicación:
15/01/2021
Idioma:
Español
Se detectó un problema en flatCore versiones anteriores a 2.0.0 build 139. Se identificó una inyección SQL ciega basada en tiempo en el parámetro del cuerpo una petición HTTP selected_folder para la interfaz acp. Se encontró que el parámetro afectado (que recupera el contenido del archivo de la carpeta especificada) acepta la entrada de usuarios maliciosos sin un saneamiento apropiado, conllevando entonces a una inyección SQL. La información relacionada con la base de datos puede ser recuperada con éxito
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2021

Vulnerabilidad en el parámetro del cuerpo de una petición HTTP media_filter para la interfaz acp en flatCore (CVE-2021-23838)
Fecha de publicación:
15/01/2021
Idioma:
Español
Se detectó un problema en flatCore versiones anteriores a 2.0.0 build 139. Se identificó una vulnerabilidad de tipo XSS reflejado en el parámetro del cuerpo de una petición HTTP media_filter para la interfaz acp. El parámetro afectado acepta scripts del lado del cliente malicioso sin un saneamiento de la entrada apropiado. Por ejemplo, un usuario malicioso puede aprovechar esta vulnerabilidad para robar cookies de un usuario víctima y llevar a cabo un ataque de secuestro de sesión, que luego puede conllevar a un acceso no autorizado al sitio
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2021

Vulnerabilidad en el parámetro del cuerpo de una petición HTTP docs_file body para la interfaz acp en flatCore (CVE-2021-23835)
Fecha de publicación:
15/01/2021
Idioma:
Español
Se detectó un problema en flatCore versiones anteriores a 2.0.0 compilación 139. Se identificó una vulnerabilidad de divulgación de archivos locales en el parámetro del cuerpo de una petición HTTP docs_file body para la interfaz acp. Esto puede ser explotado con derechos de acceso de administrador. Se encontró que el parámetro afectado (que recupera el contenido del archivo especificado) acepta la entrada de usuarios maliciosos sin un saneamiento apropiado, conllevando entonces a una recuperación de archivos confidenciales del servidor del backend, por ejemplo, /etc/passwd, archivos de la base de datos SQLite, código fuente PHP, etc
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/01/2021

Vulnerabilidad en una petición POST en el archivo /wp-admin/post.php con el parámetro post_title en Envira Gallery Lite (CVE-2020-35582)
Fecha de publicación:
15/01/2021
Idioma:
Español
Un problema de tipo cross-site scripting (XSS) almacenado en Envira Gallery Lite versiones anteriores a 1.8.3.3, permite a atacantes remotos inyectar código JavaScript/HTML arbitrario por medio de una petición POST del archivo /wp-admin/post.php con el parámetro post_title
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/01/2021
Suscribirse a Vulnerabilidades