Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en las peticiones REST HTTP con label_selectors en múltiples endpoints V3 en Cloud Controller (CVE-2021-22101)
Fecha de publicación:
27/10/2021
Idioma:
Español
Cloud Controller versiones anteriores a 1.118.0, son vulnerables a una vulnerabilidad de denegación de servicio (DoS) no autenticada que permite a atacantes no autenticados causar una denegación de servicio mediante el uso de peticiones REST HTTP con label_selectors en múltiples endpoints V3 al generar una enorme consulta SQL
Gravedad CVSS v3.1: ALTA
Última modificación:
29/10/2021

Vulnerabilidad en CFEngine Enterprise (CVE-2021-36756)
Fecha de publicación:
27/10/2021
Idioma:
Español
CFEngine Enterprise versiones 3.15.0 hasta 3.15.4, presenta una Falta de Comprobación de Certificado SSL
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2021

Vulnerabilidad en la configuración de inicio de la aplicación en Gradle Enterprise (CVE-2021-41619)
Fecha de publicación:
27/10/2021
Idioma:
Español
Se ha detectado un problema en Gradle Enterprise versiones anteriores a 2021.1.2. Se presenta una potencial ejecución de código remota por medio de la configuración de inicio de la aplicación. La interfaz de usuario de configuración de la instalación (disponible para los administradores) permite especificar opciones de inicio de la máquina virtual Java arbitrarias. Algunas de estas opciones, como -XX:OnOutOfMemoryError, permiten especificar un comando a ejecutar en el host. Esto puede ser abusado para ejecutar comandos arbitrarios en el host, si un atacante consigue acceso administrativo a la aplicación
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2021

Vulnerabilidad en el nodo de caché de construcción con la configuración por defecto en Gradle Enterprise (CVE-2021-41589)
Fecha de publicación:
27/10/2021
Idioma:
Español
En Gradle Enterprise versiones anteriores a 2021.3 (y Enterprise Build Cache Node versiones anteriores a 10.0), se presenta un potencial envenenamiento de la caché y ejecución remota de código cuando se ejecuta el nodo de caché de construcción con su configuración por defecto. Esta configuración permite un acceso anónimo a la interfaz de usuario de configuración y el acceso de escritura anónimo a la caché de construcción. Si el control de acceso a la caché de construcción no es cambiado de la configuración abierta por defecto, un actor malicioso con acceso a la red puede llenar la caché con entradas manipuladas que pueden ejecutar código malicioso como parte de un proceso de construcción. Esto es aplicado a la caché de compilación proporcionada con Gradle Enterprise y al servicio de nodo de caché de compilación separado, si es usado. Si el control de acceso a la interfaz de usuario no es cambiado de la configuración abierta por defecto, un actor malicioso puede deshacer el control de acceso a la caché de compilación para llenar la caché con entradas manipuladas que pueden ejecutar código malicioso como parte de un proceso de compilación. Esto no es aplicado a la caché de construcción proporcionada con Gradle Enterprise, pero es aplicado al servicio de nodo de caché de construcción independiente si es usado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
03/11/2021

Vulnerabilidad en una prueba de configuración SMTP en Gradle Enterprise (CVE-2021-41590)
Fecha de publicación:
27/10/2021
Idioma:
Español
En Gradle Enterprise versiones hasta 2021.3, el sondeo del entorno de red del lado del servidor puede ocurrir por medio de una prueba de configuración SMTP. La interfaz de usuario de configuración de la instalación disponible para los administradores permite probar la configuración del servidor SMTP. Esta función de prueba puede ser usada para identificar los puertos TCP de escucha disponibles para el servidor, revelando información sobre el entorno de red interno
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en el parámetro cid en el archivo complaint-details.php en Sourcecodester Complaint Management System (CVE-2020-24932)
Fecha de publicación:
27/10/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en Sourcecodester Complaint Management System versión 1.0, por medio del parámetro cid en el archivo complaint-details.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/03/2026

Vulnerabilidad en Skyworth Digital Technology Penguin Aurora Box (CVE-2021-41872)
Fecha de publicación:
27/10/2021
Idioma:
Español
Skyworth Digital Technology Penguin Aurora Box versión 41502, presenta una vulnerabilidad de denegación de servicio, que puede ser explotada por atacantes para causar una denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
01/11/2021

Vulnerabilidad en mymbCONNECT24, mbCONNECT24 (CVE-2021-34580)
Fecha de publicación:
27/10/2021
Idioma:
Español
En mymbCONNECT24, mbCONNECT24 versiones anteriores a 2.9.0 incluyéndola, un usuario no autenticado puede enumerar los usuarios válidos del backend al comprobar qué tipo de respuesta envía el servidor para los intentos de inicio de sesión no válidos diseñados
Gravedad CVSS v3.1: ALTA
Última modificación:
01/11/2021

Vulnerabilidad en la administración de firmas en algunos productos de Huawei (CVE-2021-37127)
Fecha de publicación:
27/10/2021
Idioma:
Español
Se presenta una vulnerabilidad en la administración de firmas en algunos productos de Huawei. Un atacante puede falsificar la firma y omitir la comprobación de la misma. Durante el proceso de actualización del firmware, una explotación con éxito de esta vulnerabilidad puede causar que el archivo de sistema forjado sobrescriba el archivo de sistema correcto. Las versiones de producto afectadas incluyen: iManager NetEco V600R010C00CP2001,V600R010C00CP2002,V600R010C00SPC100,V600R010C00SPC110,V600R010C00SPC120,V600R010C00SPC200,V600R010C00SPC210,V600R010C00SPC300; iManager NetEco 6000 V600R009C00SPC100,V600R009C00SPC110,V600R009C00SPC120,V600R009C00SPC190,V600R009C00SPC200,V600R009C00SPC201,V600R009C00SPC202,V600R009C00SPC210
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2021

Vulnerabilidad en una función de un módulo en el parámetro input en algunos productos de Huawei (CVE-2021-37129)
Fecha de publicación:
27/10/2021
Idioma:
Español
Se presenta una vulnerabilidad de escritura fuera de límites en algunos productos de Huawei. La vulnerabilidad está causada por una función de un módulo que no verifica correctamente el parámetro input. Una explotación con éxito podría causar una escritura fuera de límites conllevando a una condición de denegación de servicio. Las versiones de producto afectadas incluyen: Módulo IPS V500R005C00,V500R005C20;Módulo NGFW V500R005C00;NIP6600 V500R005C00,V500R005C20; S12700 V200R010C00SPC600,V200R011C10SPC500,V200R011C10SPC600,V200R013C00SPC500,V200R019C00SPC200,V200R019C00SPC500,V200R019C10SPC200,V200R020C00,V200R020C10; S1700 V200R010C00SPC600,V200R011C10SPC500,V200R011C10SPC600;S2700 V200R010C00SPC600,V200R011C10SPC500,V200R011C10SPC600; S5700 V200R010C00SPC600,V200R010C00SPC700,V200R011C10SPC500,V200R011C10SPC600,V200R019C00SPC500;S6700 V200R010C00SPC600,V200R011C10SPC500,V200R011C10SPC600; S7700 V200R010C00SPC600,V200R010C00SPC700,V200R011C10SPC500,V200R011C10SPC600;S9700 V200R010C00SPC600,V200R011C10SPC500,V200R011C10SPC600;USG9500 V500R005C00,V500R005C20
Gravedad CVSS v3.1: ALTA
Última modificación:
28/10/2021

Vulnerabilidad en el algoritmo de generación de números aleatorios HAVEGE en PolarSSL (CVE-2011-4574)
Fecha de publicación:
27/10/2021
Idioma:
Español
PolarSSL versiones anteriores a v1.1, usan el algoritmo de generación de números aleatorios HAVEGE. En su esencia, éste usa información de tiempo basada en el temporizador de alta resolución del procesador (la instrucción RDTSC). Esta instrucción puede ser virtualizada, y algunos hosts de máquinas virtuales han optado por deshabilitar esta instrucción, devolviendo 0s o resultados predecibles
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/11/2024

Vulnerabilidad en los métodos HTTP TRACK & TRACE en Kiwi Syslog Server (CVE-2021-35233)
Fecha de publicación:
27/10/2021
Idioma:
Español
Los métodos HTTP TRACK & TRACE estaban habilitados en Kiwi Syslog Server versiones 9.7.1 y anteriores. Estos métodos están pensados únicamente para fines de diagnóstico. Si están habilitados, el servidor web responderá a las peticiones que usen estos métodos al devolver la petición HTTP exacta que se recibió en la respuesta al cliente. Esto puede conllevar a una divulgación de información confidencial, como los encabezados de autenticación internas añadidas por los proxies inversos
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2021
Suscribirse a Vulnerabilidades