Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el inicio de sesión en Koel (CVE-2021-33563)
Fecha de publicación:
24/05/2021
Idioma:
Español
Koel versiones anteriores a 5.1.4 carece de limitación de inicio de sesión, carece de una política de seguridad de contraseña y muestra si un intento de inicio de sesión fallido tenía un nombre de usuario válido. Esto podría facilitar los ataques de fuerza bruta
Gravedad CVSS v3.1: ALTA
Última modificación:
03/06/2021

Vulnerabilidad en el archivo lilac/export.php en el parámetro nagios_path en EyesOfNetwork eonweb (CVE-2021-33525)
Fecha de publicación:
24/05/2021
Idioma:
Español
EyesOfNetwork eonweb versiones hasta 5.3-11, permite una ejecución de comandos remota (por usuarios autenticados) por medio de metacaracteres shell en el parámetro nagios_path hacia el archivo lilac/export.php, como es demostrado por %26%26+curl para insertar una subcadena "&& curl" para el shell
Gravedad CVSS v3.1: ALTA
Última modificación:
27/05/2021

Vulnerabilidad en una URL en Feehi CMS (CVE-2021-30108)
Fecha de publicación:
24/05/2021
Idioma:
Español
Feehi CMS versión 2.1.1 está afectado por una vulnerabilidad de tipo Server-side request forgery (SSRF). Cuando el usuario modifica el encabezado HTTP Referer para cualquier URL, el servidor puede llevar a cabo una petición
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/05/2021

Vulnerabilidad en el uso de barras diagonales dobles en la URL en la función index.js::createTrailing() en el paquete trailing-slash (CVE-2021-23387)
Fecha de publicación:
24/05/2021
Idioma:
Español
El paquete trailing-slash versiones anteriores a 2.0.1, es vulnerable a Open Redirect por medio del uso de barra diagonal dobles en la URL cuando se accede al extremo vulnerable (como https://example.com//attacker.example/). El código vulnerable está en la función index.js::createTrailing(), ya que el servidor web usa URL relativas en lugar de URL absolutas
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/05/2021

Vulnerabilidad en envío de un paquete en el servidor slapd en OpenLDAP (CVE-2020-20178)
Fecha de publicación:
24/05/2021
Idioma:
Español
La última versión de Ethereum 0xe933c0cd9784414d5f278c114904f5a84b396919#code.sol está afectada por una vulnerabilidad de denegación de servicio en la función de pago afectada. Una vez que la longitud de esta matriz es demasiado larga, dará lugar a una excepción. Los atacantes pueden realizar ataques creando una serie de direcciones de cuentas
Gravedad CVSS v3.1: ALTA
Última modificación:
20/09/2021

Vulnerabilidad en el parámetro "return" en el archivo login.php en Mediat (CVE-2021-30083)
Fecha de publicación:
24/05/2021
Idioma:
Español
Se detectó un problema en Mediat versión 1.4.1. Se presenta una vulnerabilidad de tipo XSS reflejado que permite a atacantes remotos inyectar un script web o HTML arbitrario sin autenticación por medio del parámetro "return" en el archivo login.php
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2021

Vulnerabilidad en admin/navbar.php?action=add_page en emlog (CVE-2021-30081)
Fecha de publicación:
24/05/2021
Idioma:
Español
Se detectó un problema en emlog versión 6.0.0stable. Se presenta una vulnerabilidad de inyección SQL que puede ejecutar cualquier instrucción SQL y consultar datos confidenciales del servidor por medio de admin/navbar.php?action=add_page
Gravedad CVSS v3.1: ALTA
Última modificación:
27/05/2021

Vulnerabilidad en el admin/dashboard en Gris CMS (CVE-2021-30082)
Fecha de publicación:
24/05/2021
Idioma:
Español
Se detectó un problema en Gris CMS versión v0.1. Se presenta una vulnerabilidad de tipo XSS persistente que permite a atacantes remotos inyectar un script web o HTML arbitrario por medio del admin/dashboard
Gravedad CVSS v3.1: MEDIA
Última modificación:
27/05/2021

Vulnerabilidad en el controlador del kernel de la GPU Arm Mali en Bifrost, Valhall y Midgard (CVE-2021-29256)
Fecha de publicación:
24/05/2021
Idioma:
Español
El controlador del kernel de la GPU Arm Mali, permite a un usuario no privilegiado acceder a la memoria liberada, conllevando a una divulgación de información o una escalada de privilegios de root. Esto afecta a Bifrost versiones r16p0 hasta r29p0 anteriores a r30p0, Valhall r19p0 hasta r29p0 anteriores a r30p0 y Midgard versiones r28p0 hasta r30p0
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en un AuthValue en un Mesh Provisioning en el perfil de Bluetooth Mesh (CVE-2020-26556)
Fecha de publicación:
24/05/2021
Idioma:
Español
Un Mesh Provisioning en el perfil de Bluetooth Mesh versiones 1.0 y 1.0.1, puede permitir a un dispositivo cercano, capaz de conducir un ataque de fuerza bruta con éxito en un AuthValue insuficientemente aleatorio antes de que se agote el tiempo de espera del procedimiento de aprovisionamiento, para completar la autenticación al aprovechar Malleable Commitment
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2022

Vulnerabilidad en los archivos app/system/language/admin/language_general.class.php y app/system/include/function/file.func.php en MetInfo (CVE-2020-20907)
Fecha de publicación:
24/05/2021
Idioma:
Español
MetInfo versión 7.0 beta, está afectado por una vulnerabilidad de modificación de archivos. Unos atacantes pueden eliminar y modificar archivos ini en los archivos app/system/language/admin/language_general.class.php y app/system/include/function/file.func.php
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/10/2022

Vulnerabilidad en la función apng_do_inverse_blend en la biblioteca libavcodec/pngenc.c en FFmpeg (CVE-2020-21041)
Fecha de publicación:
24/05/2021
Idioma:
Español
Una vulnerabilidad de Desbordamiento de Búfer se presenta en FFmpeg versión 4.1, por medio de la función apng_do_inverse_blend en la biblioteca libavcodec/pngenc.c, que podría permitir a un usuario malicioso remoto causar una Denegación de Servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
10/12/2021
Suscribirse a Vulnerabilidades