Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los plugins de GameStream en NVIDIA GeForce Experience (CVE-2021-1079)
Fecha de publicación:
20/04/2021
Idioma:
Español
NVIDIA GeForce Experience, en todas las versiones anteriores a la 3.22, contiene una vulnerabilidad en los plugins GameStream en la que los archivos de registro se crean utilizando permisos de nivel NT/System, lo que puede conducir a la ejecución de código, la denegación de servicio o la escalada de privilegios local. El atacante no tiene control sobre la consecuencia de una modificación ni podría filtrar información como resultado directo de la sobreescritura
Gravedad CVSS v3.1: MEDIA
Última modificación:
18/05/2021

Vulnerabilidad en Xiaomi 10 MIUI (CVE-2020-14105)
Fecha de publicación:
20/04/2021
Idioma:
Español
La aplicación en el teléfono móvil puede leer la información SNO del dispositivo, Xiaomi 10 MIUI versiones anteriores a 2020.01.15
Gravedad CVSS v3.1: MEDIA
Última modificación:
23/04/2021

Vulnerabilidad en la función MtProtoKitFramework en la aplicación Telegram para iOS (CVE-2021-30496)
Fecha de publicación:
20/04/2021
Idioma:
Español
** EN DISPUTA ** La aplicación Telegram versión 7.6.2 para iOS, permite a usuarios autenticados remoto causar una denegación de servicio (bloqueo de la aplicación) si la víctima pega un mensaje proporcionado por el atacante (por ejemplo, en el idioma Persian) en un canal o grupo. El bloqueo ocurre en la función MtProtoKitFramework. NOTA: la perspectiva del proveedor es que "este comportamiento no puede considerarse una vulnerabilidad"
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/08/2024

Vulnerabilidad en el archivo kernel/bpf/verifier.c en el kernel de Linux (CVE-2021-29155)
Fecha de publicación:
20/04/2021
Idioma:
Español
Se detectó un problema en el kernel de Linux versiones hasta 5.11.x. En el archivo kernel/bpf/verifier.c lleva a cabo especulaciones indeseables fuera de límites en la aritmética de punteros, conllevando a ataques de canal lateral que anulan las mitigaciones de Spectre y consiguen información confidencial de la memoria del kernel. Específicamente, para secuencias de operaciones aritméticas de puntero, la modificación de puntero llevada a cabo por la primera operación no se contabiliza correctamente al restringir operaciones posteriores
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2024

Vulnerabilidad en unos eventos HTTP en el registro de auditoría de HashiCorp Consul Enterprise (CVE-2021-28156)
Fecha de publicación:
20/04/2021
Idioma:
Español
El registro de auditoría de HashiCorp Consul Enterprise versión 1.8.0 hasta 1.9.4 puede ser omitido por eventos HTTP específicamente diseñados. Corregido en versiones 1.9.5 y 1.8.10
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2022

Vulnerabilidad en el modo sin procesar de HashiCorp Consul y Consul Enterprise (CVE-2020-25864)
Fecha de publicación:
20/04/2021
Idioma:
Español
El modo sin procesar de HashiCorp Consul y Consul Enterprise hasta versión 1.9.4, key-value (KV) era vulnerable a un ataque de tipo cross-site scripting. Corregido en versiones 1.9.5, 1.8.10 y 1.7.14
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2022

Vulnerabilidad en la configuración del workspace en vscode-restructuredtext (CVE-2021-28793)
Fecha de publicación:
20/04/2021
Idioma:
Español
vscode-restructuredtext versiones anteriores a 146.0.0, contiene una vulnerabilidad de control de acceso incorrecta, donde una carpeta de proyecto diseñada podría ejecutar binarios arbitrarios por medio de la configuración del workspace diseñado
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/04/2021

Vulnerabilidad en Helpcom (CVE-2020-7856)
Fecha de publicación:
20/04/2021
Idioma:
Español
Una vulnerabilidad de Helpcom podría permitir a un atacante no autenticado ejecutar un comando arbitrario. Esta vulnerabilidad se presenta debido a una comprobación insuficiente de autenticación
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/04/2021

Vulnerabilidad en el software AdTran Personal Phone Manager (CVE-2021-25679)
Fecha de publicación:
20/04/2021
Idioma:
Español
** NO SOPORTADO CUANDO SE ASIGNÓ ** El software AdTran Personal Phone Manager es vulnerable a problemas de tipo cross-site scripting (XSS) almacenado y autenticado. Estos problemas impactan a versiones mínimas 10.8.1 y por debajo, pero también pueden potencialmente impactar a versiones posteriores, ya que no han sido previamente reveladas. Solo versión 10.8.1, pudo ser capaz de ser confirmada durante la investigación primaria. NOTA: Los dispositivos NetVanta 7060 y NetVanta 7100 afectados son considerados en Fin de Vida y, como tal, este problema no será parcheado
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/08/2024

Vulnerabilidad en el software AdTran Personal Phone Manager (CVE-2021-25680)
Fecha de publicación:
20/04/2021
Idioma:
Español
** NO SOPORTADO CUANDO SE ASIGNÓ ** El software AdTran Personal Phone Manager es vulnerable a múltiples problemas de tipo cross-site scripting (XSS) reflejado. Estos problemas impactan a versiones mínimas 10.8.1 y anteriores, pero potencialmente impactan a versiones posteriores, ya que no han sido previamente reveladas. Solo versión 10.8.1 fue capaz de ser confirmada durante la investigación primaria. NOTA: Los dispositivos NetVanta 7060 y NetVanta 7100 afectados son considerados en Fin de Vida y, como tal, este problema no será parcheado
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/08/2024

Vulnerabilidad en DNS en servidores web en el software AdTran Personal Phone Manager (CVE-2021-25681)
Fecha de publicación:
20/04/2021
Idioma:
Español
** NO SOPORTADO CUANDO SE ASIGNÓ ** El software AdTran Personal Phone Manager versión 10.8.1, es vulnerable a un problema que permite la exfiltración de datos por medio de DNS. Esto podría permitir a servidores web expuestos de AdTran Personal Phone Manager ser usados como redirectores de DNS para canalizar datos arbitrarios por medio de DNS. NOTA: Los dispositivos NetVanta 7060 y NetVanta 7100 afectados son considerados en Fin de Vida y, como tal, este problema no será parcheado
Gravedad CVSS v3.1: ALTA
Última modificación:
03/08/2024

Vulnerabilidad en el procesamiento de datos XML en IBM WebSphere Application Server (CVE-2021-20453)
Fecha de publicación:
20/04/2021
Idioma:
Español
IBM WebSphere Application Server versiones 8.0, 8.5 y 9.0, es vulnerable a un ataque de inyección de XML External Entity Injection (XXE) cuando se procesan datos XML. Un atacante remoto podría explotar esta vulnerabilidad para exponer información confidencial o consumir recursos de la memoria. IBM X-Force ID: 196648
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2022
Suscribirse a Vulnerabilidades