Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en entradas no admitidas en diversos dispositivos Snapdragon (CVE-2021-1914)
Fecha de publicación:
08/09/2021
Idioma:
Español
Puede producirse un bucle con condición de salida no alcanzable debido al manejo inapropiado de entradas no admitidas en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Voice & Music, Snapdragon Wearables
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2021

Vulnerabilidad en las tramas Wi-Fi de texto plano sin cifrar en diversos dispositivos Snapdragon (CVE-2020-11301)
Fecha de publicación:
08/09/2021
Idioma:
Español
Una autenticación inapropiada de tramas Wi-Fi de texto plano sin cifrar en una red cifrada puede conllevar a una divulgación de información en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2021

Vulnerabilidad en las tramas de texto plano en diversos dispositivos Snapdragon (CVE-2020-11264)
Fecha de publicación:
08/09/2021
Idioma:
Español
Una autenticación inapropiada de las tramas de texto plano que no son EAPOL/WAPI durante el apretón de manos de cuatro vías puede conllevar a una inyección arbitraria de paquetes de red en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/09/2021

Vulnerabilidad en el panel de control de SQL en el paquete sqlite-web (CVE-2021-23404)
Fecha de publicación:
08/09/2021
Idioma:
Español
Esto afecta a todas las versiones del paquete sqlite-web. El área del panel de control de SQL permite que se realicen acciones delicadas sin comprender que la petición se originó en la aplicación. Esto podría permitir a un atacante engañar a un usuario para que realice estas acciones sin saberlo mediante un ataque de tipo Cross Site Request Forgery (CSRF)
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2021

Vulnerabilidad en el contenido del correo electrónico en SmarterTools SmarterMail (CVE-2021-40377)
Fecha de publicación:
08/09/2021
Idioma:
Español
SmarterTools SmarterMail versión 16.x antes de la build 7866, presenta una vulnerabilidad de tipo XSS almacenado. La aplicación no sanea el contenido del correo electrónico, permitiendo así inyectar HTML y/o JavaScript en una página que luego será procesada y almacenada por la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en los ID de sesión en FortiSandbox (CVE-2020-29012)
Fecha de publicación:
08/09/2021
Idioma:
Español
Una vulnerabilidad de expiración de sesión insuficiente en FortiSandbox versiones 3.2.1 y posteriores, puede permitir a un atacante reusar los ID de sesión del usuario administrador no caducados para obtener información sobre otros usuarios configurados en el dispositivo, si el atacante es capaz de obtener ese ID de sesión (por medio de otros ataques hipotéticos)
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en parámetros en la ejecución de comandos CLI en Fortinet FortiWeb (CVE-2021-36179)
Fecha de publicación:
08/09/2021
Idioma:
Español
Un desbordamiento de búfer en la región stack de la memoria en Fortinet FortiWeb versión 6.3.14 y por debajo, 6.2.4 y por debajo, permite al atacante ejecutar código o comandos no autorizados por medio de parámetros diseñados en la ejecución de comandos CLI
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2021

Vulnerabilidad en peticiones HTTP en un comando ("Command Injection") en Fortinet FortiWeb (CVE-2021-36182)
Fecha de publicación:
08/09/2021
Idioma:
Español
Una neutralización inapropiada de los elementos especiales usados en un comando ("Command Injection") en Fortinet FortiWeb versión 6.3.13 y por debajo, permite al atacante ejecutar código o comandos no autorizados por medio de peticiones HTTP diseñadas
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2021

Vulnerabilidad en el endpoint /rest/api/2/search en Atlassian Jira Server y Data Center (CVE-2021-39122)
Fecha de publicación:
08/09/2021
Idioma:
Español
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos anónimos visualizar los correos electrónicos de los usuarios por medio de una vulnerabilidad de divulgación de información en el endpoint /rest/api/2/search. Las versiones afectadas son anteriores a versión 8.5.13, desde versión 8.6.0 anteriores a 8.13.5, y desde versión 8.14.0 anteriores a 8.15.1
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/10/2024

Vulnerabilidad en el endpoint /rest/api/latest/projectvalidate/key en Atlassian Jira Server y Data Center (CVE-2021-39121)
Fecha de publicación:
08/09/2021
Idioma:
Español
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos autenticados enumerar las claves de los proyectos privados de Jira por medio de una vulnerabilidad de divulgación de información en el endpoint /rest/api/latest/projectvalidate/key. Las versiones afectadas son anteriores a 8.5.18, desde la versión 8.6.0 anteriores a 8.13.10, y desde versión 8.14.0 anteriores a 8.18.2
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en el componente GIF Image Reader en Atlassian Jira Server y Data Center (CVE-2021-39116)
Fecha de publicación:
08/09/2021
Idioma:
Español
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a los atacantes remotos impactar en la disponibilidad de la aplicación a través de una vulnerabilidad de denegación de servicio (DoS) en el componente GIF Image Reader. Las versiones afectadas son anteriores a la versión 8.13.14, y desde la versión 8.14.0 hasta la versión 8.19.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/03/2022

Vulnerabilidad en el archivo /ad_js.php en BlueCMS (CVE-2020-19853)
Fecha de publicación:
08/09/2021
Idioma:
Español
BlueCMS versión v1.6, contiene una vulnerabilidad de inyección SQL por medio del archivo /ad_js.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/09/2021
Suscribirse a Vulnerabilidades