Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la función theme en PHPFusion (CVE-2021-40189)
Fecha de publicación:
11/10/2021
Idioma:
Español
PHPFusion versión 9.03.110, está afectado por una vulnerabilidad de ejecución de código remota . La función theme extrae un archivo a "webroot/themes/{Theme Folder], donde un atacante puede acceder y ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
19/10/2021

Vulnerabilidad en el archivo ForgotPassUserName.php en openSIS Community Edition (CVE-2021-40617)
Fecha de publicación:
11/10/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en openSIS Community Edition versión 8.0, por medio del archivo ForgotPassUserName.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
16/04/2025

Vulnerabilidad en el archivo ftpproto.c en la función do_retr en Miniftpd (CVE-2021-40239)
Fecha de publicación:
11/10/2021
Idioma:
Español
Se presenta una vulnerabilidad de desbordamiento de búfer en la última versión de Miniftpd en la función do_retr en el archivo ftpproto.c
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/10/2021

Vulnerabilidad en una carga de yaml en la librería Kubernetes Java Client (CVE-2021-25738)
Fecha de publicación:
11/10/2021
Idioma:
Español
Una carga de yaml especialmente diseñado con la librería Kubernetes Java Client puede conllevar a una ejecución de código
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/10/2022

Vulnerabilidad en el archivo drivers/soc/aspeed/aspeed-lpc-ctrl.c en la función aspeed_lpc_ctrl_mmap en el kernel de Linux (CVE-2021-42252)
Fecha de publicación:
11/10/2021
Idioma:
Español
Se ha detectado un problema en la función aspeed_lpc_ctrl_mmap en el archivo drivers/soc/aspeed/aspeed-lpc-ctrl.c en el kernel de Linux versiones anteriores a 5.14.6. Unos atacantes locales capaces de acceder a la interfaz de control de Aspeed LPC podrían sobrescribir memoria en el kernel y potencialmente ejecutar privilegios, también se conoce como CID-b49a0e69a7b1. Esto ocurre porque una determinada comparación usa valores que no son de tamaño de memoria
Gravedad CVSS v3.1: ALTA
Última modificación:
03/12/2021

Vulnerabilidad en un comando INSERT ... ON CONFLICT ... DO UPDATE en una tabla en postgresql (CVE-2021-32028)
Fecha de publicación:
11/10/2021
Idioma:
Español
Se ha encontrado un fallo en postgresql. Usando un comando INSERT ... ON CONFLICT ... DO UPDATE en una tabla diseñada a tal efecto, un usuario autenticado de la base de datos podía leer bytes arbitrarios de la memoria del servidor. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/01/2023

Vulnerabilidad en el firmware de HPE 3PAR StoreServ, HPE Primera Storage and HPE Alletra 9000 Storage array (CVE-2021-26588)
Fecha de publicación:
11/10/2021
Idioma:
Español
Se ha identificado una posible vulnerabilidad de seguridad en el firmware de HPE 3PAR StoreServ, HPE Primera Storage and HPE Alletra 9000 Storage array. Un usuario no autenticado podría explotar remotamente el problema de baja complejidad para ejecutar código como administrador. Esta vulnerabilidad afecta completamente la confidencialidad, integridad y disponibilidad de la matriz. HPE ha realizado las siguientes actualizaciones de software e información de mitigación para resolver la vulnerabilidad en el firmware de 3PAR, Primera y Alletra 9000
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
18/10/2021

Vulnerabilidad en el flujo documentsignatures.xml o macrosignatures.xml en el documento en LibreOffice (CVE-2021-25633)
Fecha de publicación:
11/10/2021
Idioma:
Español
LibreOffice soporta firmas digitales de documentos ODF y macros dentro de documentos, presentando ayudas visuales de que no se ha producido ninguna alteración del documento desde la última firma y que la firma es válida. Una vulnerabilidad de Comprobación Inapropiada de Certificados en LibreOffice permitía a un atacante crear un documento ODF firmado digitalmente, al manipular el flujo documentsignatures.xml o macrosignatures.xml dentro del documento para combinar múltiples datos de certificados, que cuando se abría causaba que LibreOffice mostrara un indicador firmado válidamente pero cuyo contenido no estaba relacionado con la firma mostrada. Este problema afecta a: versiones de LibreOffice 7-0 de The Document Foundation anteriores a la 7.0.6; versiones 7-1 anteriores a 7.1.2
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2021

Vulnerabilidad en Telus Wi-Fi Hub (PRV65B444A-S-TS) (CVE-2021-20121)
Fecha de publicación:
11/10/2021
Idioma:
Español
Telus Wi-Fi Hub (PRV65B444A-S-TS) con versión de firmware 3.00.20, es vulnerable a una lectura de archivos arbitraria autenticada. Un usuario autenticado con acceso físico al dispositivo puede leer archivos arbitrarios desde el dispositivo preparando y conectando una unidad USB especialmente preparada al dispositivo, y realizando una serie de peticiones diseñadas a la interfaz web del dispositivo
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/10/2021

Vulnerabilidad en una cuenta de usuario en GitLab (CVE-2021-22263)
Fecha de publicación:
11/10/2021
Idioma:
Español
Se ha detectado un problema en GitLab afectando todas las versiones a partir de la 13.0 anteriores a 14.0.9, todas las versiones a partir de la 14.1 anteriores a 14.1.4, todas las versiones a partir de la 14.2 anteriores a 14.2.2. Una cuenta de usuario con estado "external" a la que se le haya concedido el rol "Maintainer" en cualquier proyecto de la instancia de GitLab en la que se permitan los "tokens de proyecto" puede elevar su privilegio a "Internal" y acceder a los proyectos Internos
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/10/2021

Vulnerabilidad en el proxy web en NetApp Cloud Manager (CVE-2021-27002)
Fecha de publicación:
11/10/2021
Idioma:
Español
NetApp Cloud Manager versiones anteriores a 3.9.10, son susceptibles de sufrir una vulnerabilidad que podría permitir a un atacante remoto no autenticado recuperar datos confidenciales por medio del proxy web
Gravedad CVSS v3.1: ALTA
Última modificación:
18/10/2021

Vulnerabilidad en múltiples parámetros en el archivo tr69_cmd.cgi en Telus Wi-Fi Hub (PRV65B444A-S-TS) (CVE-2021-20122)
Fecha de publicación:
11/10/2021
Idioma:
Español
Telus Wi-Fi Hub (PRV65B444A-S-TS) con la versión de firmware 3.00.20, está afectado por una vulnerabilidad de inyección de comandos autenticados en múltiples parámetros pasados al archivo tr69_cmd.cgi. Un atacante remoto conectado a la LAN del router y autenticado con una cuenta de superusuario, o usando una vulnerabilidad de omisión autenticación como CVE-2021-20090 podría aprovechar este problema para ejecutar comandos y conseguir un shell como root en el dispositivo de destino
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022
Suscribirse a Vulnerabilidades