Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la visualización de búsqueda y navegación en el parámetro pollution en Jira Server y Data Center (CVE-2020-36288)
Fecha de publicación:
15/04/2021
Idioma:
Español
La visualización de búsqueda y navegación de problemas en Jira Server y Data Center versiones anteriores a 8.5.12, desde versión 8.6.0 versiones anteriores a 8.13.4 y desde versión 8.14.0 versiones anteriores a 8.15.1, permite a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de Cross-Site Scripting (XSS) DOM causada por el parámetro pollution
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en el mensaje de error en el plugin de importadores de Jira AttachTemporaryFile rest resource en Jira Server y Data Center (CVE-2021-26075)
Fecha de publicación:
15/04/2021
Idioma:
Español
El recurso de rest AttachTemporaryFile del plugin de importadores de Jira en Jira Server y Data Center versiones anteriores a 8.5.12, desde versión 8.6.0 versiones anteriores a 8.13.4, y desde versión 8.14.0 versiones anteriores a 8.15.1, permitía a atacantes remotos autentificados obtener la ruta completa del directorio de datos de la aplicación Jira por medio de una vulnerabilidad de divulgación de información en el mensaje de error cuando se presentaba un nombre de archivo no válido
Gravedad CVSS v3.1: MEDIA
Última modificación:
30/03/2022

Vulnerabilidad en la cookie jira.editor.user.mode ajustada por Jira Editor Plugin en Jira Server y Data Center (CVE-2021-26076)
Fecha de publicación:
15/04/2021
Idioma:
Español
La cookie jira.editor.user.mode ajustada por Jira Editor Plugin en Jira Server y Data Center versiones anteriores a 8.5.12, desde versión 8.6.0 versiones anteriores a 8.13.4 y desde versión 8.14.0 versiones anteriores a 8.15.0, permite a atacantes anónimos remotos poder llevar a cabo un ataque de tipo attacker in the middle para saber en qué modo está editando un usuario debido a que la cookie no está ajustada con un atributo seguro si Jira estaba configurado para usar https
Gravedad CVSS v3.1: BAJA
Última modificación:
30/03/2022

Vulnerabilidad en una petición GET en Mdaemon (CVE-2021-27180)
Fecha de publicación:
14/04/2021
Idioma:
Español
Se detectó un problema en MDaemon versiones anteriores a 20.0.4. Se presenta una vulnerabilidad de tipo XSS reflejado en Webmail (también se conoce como WorldClient). Puede ser explotado por medio de una petición GET. Permite llevar a cabo cualquier acción con los privilegios del usuario atacado
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/04/2021

Vulnerabilidad en la administración remota en Mdaemon (CVE-2021-27183)
Fecha de publicación:
14/04/2021
Idioma:
Español
Se detectó un problema en MDaemon versiones anteriores a 20.0.4. Los administradores pueden usar la administración remota para explotar una vulnerabilidad de escritura arbitraria de archivos. Un atacante puede crear archivos nuevos en cualquier ubicación del sistema de archivos, o puede ser capaz de modificar archivos existentes. Esta vulnerabilidad puede conllevar directamente a una Ejecución de Código Remota
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en un mensaje de correo electrónico en Webmail en Mdaemon (CVE-2021-27182)
Fecha de publicación:
14/04/2021
Idioma:
Español
Se detectó un problema en MDaemon versiones anteriores a 20.0.4. Se presenta una vulnerabilidad de inyección de IFRAME en Webmail (también se conoce como WorldClient). Puede ser explotada por medio de un mensaje de correo electrónico. Permite a un atacante llevar a cabo cualquier acción con los privilegios del usuario atacado
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en una URL en Mdaemon (CVE-2021-27181)
Fecha de publicación:
14/04/2021
Idioma:
Español
Se detectó un problema en MDaemon versiones anteriores a 20.0.4. Una Administración Remota permite a un atacante llevar a cabo una reparación del token anti-CSRF. Para explotar este problema, el usuario debe hacer clic en una URL maliciosa proporcionada por el atacante y autenticarse con éxito en la aplicación. Teniendo el valor del token anti-CSRF, el atacante puede engañar al usuario al visitar su página maliciosa y llevar a cabo cualquier petición con los privilegios del usuario atacado
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en Pi-hole core en Linux (CVE-2021-29449)
Fecha de publicación:
14/04/2021
Idioma:
Español
Pi-hole es una aplicación de bloqueo de anuncios y rastreadores de Internet a nivel de red de Linux. Se detectaron múltiples vulnerabilidades de escalada de privilegios en versión 5.2.4 de Pi-hole core. Véase el aviso de seguridad de GitHub al que se hace referencia para más detalles
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/04/2026

Vulnerabilidad en una página HTML en Devolutions Server y Devolutions Server LTS (CVE-2021-28048)
Fecha de publicación:
14/04/2021
Idioma:
Español
Una política CORS demasiado permisiva en Devolutions Server versiones anteriores a 2021.1 y Devolutions Server LTS versiones anteriores a 2020.3.18, permite a un atacante remoto filtrar datos de origen cruzado por medio de una página HTML diseñada
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/04/2021

Vulnerabilidad en un nombre de usuario en api/security/userinfo/delete en Devolutions Server y Devolutions Server LTS (CVE-2021-28157)
Fecha de publicación:
14/04/2021
Idioma:
Español
Un problema de inyección SQL en Devolutions Server versiones anteriores a 2021.1 y Devolutions Server LTS versiones anteriores a 2020.3.18, permite a un usuario administrativo ejecutar comandos SQL arbitrarios por medio de un nombre de usuario en api/security/userinfo/delete
Gravedad CVSS v3.1: ALTA
Última modificación:
21/04/2021

Vulnerabilidad en el parámetro logo de las plantillas en la página de error en Joomla! (CVE-2021-26030)
Fecha de publicación:
14/04/2021
Idioma:
Español
Se detectó un problema en Joomla! versiones 3.0.0 hasta 3.9.25. El escape inadecuado permitió ataques de tipo XSS, usando el parámetro logo de las plantillas predeterminadas en la página de error
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2021

Vulnerabilidad en el campo de entrada raw_sql en el panel SQL en Jazzband Django Debug Toolbar (CVE-2021-30459)
Fecha de publicación:
14/04/2021
Idioma:
Español
Un problema de inyección SQL en el panel SQL en Jazzband Django Debug Toolbar versiones anteriores a 1.11.1, versiones 2.x anteriores a 2.2.1 y versiones 3.x anteriores a 3.2.1, permite a atacantes ejecutar sentencias SQL al cambiar el campo de entrada raw_sql del formulario de explicación, análisis o selección de SQL
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
21/04/2021
Suscribirse a Vulnerabilidades