Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el mecanismo de autenticación en IBM InfoSphere Information Server (CVE-2021-29747)
Fecha de publicación:
17/05/2021
Idioma:
Español
IBM InfoSphere Information Server versión 11.7, podría permitir a un atacante remoto obtener información altamente confidencial debido a una vulnerabilidad en el mecanismo de autenticación. IBM X-Force ID: 201775
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en el acceso a la base de datos de configuración interna del dispositivo en SITEL CAP/PRX (CVE-2021-32453)
Fecha de publicación:
17/05/2021
Idioma:
Español
SITEL CAP/PRX versiones del firmware 5.2.01, permite a un atacante con acceso a la red local, acceder por medio de HTTP a la base de datos de configuración interna del dispositivo sin ninguna autenticación. Un atacante podría explotar esta vulnerabilidad para obtener información sobre la configuración del dispositivo
Gravedad CVSS v3.1: BAJA
Última modificación:
09/11/2023

Vulnerabilidad en la etiqueta CORS ExposeHeader en el archivo de configuración CORS en Red Hat Ceph Storage RadosGW (Ceph Object Gateway) (CVE-2021-3524)
Fecha de publicación:
17/05/2021
Idioma:
Español
Se encontró un fallo en Red Hat Ceph Storage RadosGW (Ceph Object Gateway) en versiones anteriores a la 14.2.21. La vulnerabilidad está relacionada con la inyección de encabezados HTTP por medio de una etiqueta CORS ExposeHeader. El carácter de nueva línea en la etiqueta ExposeHeader en el archivo de configuración CORS genera una inyección de encabezado en la respuesta cuando se realiza la petición CORS. Además, la corrección de bug anterior para CVE-2020-10753 no tenía en cuenta el uso de \r como separador de encabezado, por lo que un nuevo fallo ha sido creado
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en un servidor MongoDB en IBM Planning Analytics Local (CVE-2020-4669)
Fecha de publicación:
17/05/2021
Idioma:
Español
IBM Planning Analytics Local versión 2.0, se conecta a un servidor MongoDB. MongoDB, un sistema de base de datos orientado a documentos, está escuchando en el puerto remoto y está configurado para permitir conexiones sin autenticación de contraseña. Un atacante remoto puede conseguir acceso no autorizado a la base de datos. IBM X-Force ID: 184600
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
24/05/2021

Vulnerabilidad en el módulo Workspaces en Drupal Core Workspaces (CVE-2020-13667)
Fecha de publicación:
17/05/2021
Idioma:
Español
Una vulnerabilidad de omisión de acceso en Drupal Core Workspaces permite a un atacante acceder a los datos sin los permisos correctos. El módulo Workspaces de trabajo no comprueba suficientemente los permisos de acceso al cambiar de workspaces, conllevando a una vulnerabilidad de omisión de acceso. Un atacante podría ser capaz de visualizar el contenido antes de que el propietario del sitio pretenda que las personas visualicen el contenido. Esta vulnerabilidad se mitiga por el hecho de que los sitios solo son vulnerables si han instalado el módulo Workspaces experimental. Este problema afecta a Drupal Core versiones 8.8.X anteriores a 8.8.10; versiones 8.9.X anteriores a 8.9.6; versiones 9.0.X anteriores a 9.0.6
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/06/2021

Vulnerabilidad en el servidor Redis en IBM Planning Analytics Local (CVE-2020-4670)
Fecha de publicación:
17/05/2021
Idioma:
Español
IBM Planning Analytics Local versión 2.0, se conecta a un servidor Redis. El servidor Redis, un almacén de estructura de datos en memoria, que se ejecuta en el host remoto no está protegido por autenticación de contraseña. Un atacante remoto puede explotar esto para conseguir acceso no autorizado al servidor. IBM X-Force ID: 186401
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/06/2022

Vulnerabilidad en la representación recursiva desde contextos en plantillas de Moustache en Moodle (CVE-2019-14827)
Fecha de publicación:
17/05/2021
Idioma:
Español
Se encontró una vulnerabilidad en Moodle donde la inyección de javaScript era posible en algunas plantillas de Moustache por medio de la representación recursiva desde contextos. Las etiquetas de ayuda de Moustache que son incluidos en contextos de plantilla no se escaparon versiones anteriores a que ese contexto se inyectara en otro ayudante de Moustache, lo que podría resultar en una inyección de un script en algunas plantillas. Esto afecta a versiones 3.7 hasta 3.7.1, versiones 3.6 hasta 3.6.5, versiones 3.5 hasta 3.5.7 y versiones anteriores no compatibles
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/06/2021

Vulnerabilidad en el cambio de credenciales en Hirschmann HiOS y HiSecOS (CVE-2021-27734)
Fecha de publicación:
17/05/2021
Idioma:
Español
Hirschmann HiOS versiones 07.1.01, 07.1.02 y versiones 08.1.00 hasta 08.5.xx y HiSecOS versiones 03.3.00 hasta 03.5.01, permiten a atacantes remotos cambiar las credenciales de los usuarios existentes
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/07/2022

Vulnerabilidad en telnetd en el modelo de D-Link Router (CVE-2021-27342)
Fecha de publicación:
17/05/2021
Idioma:
Español
Una omisión del mecanismo de protección de autenticación de fuerza bruta en telnetd en el modelo de D-Link Router versiones de firmware 3.0.2, permite a un atacante remoto omitir el período de retardo anti-brute-force cool-down por medio de un ataque de canal lateral basado en sincronización
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2021

Vulnerabilidad en Intelbras Router RF 301K Firmware (CVE-2021-32402)
Fecha de publicación:
17/05/2021
Idioma:
Español
Intelbras Router RF 301K Firmware versión 1.1.2, es vulnerable a un ataque de tipo Cross Site Request Forgery (CSRF) debido a una falta de comprobación y configuraciones no seguras en entradas y módulos
Gravedad CVSS v3.1: ALTA
Última modificación:
25/05/2021

Vulnerabilidad en Intelbras Router RF 301K Firmware (CVE-2021-32403)
Fecha de publicación:
17/05/2021
Idioma:
Español
Intelbras Router RF 301K Firmware versión 1.1.2, es vulnerable a un ataque de tipo Cross Site Request Forgery (CSRF) debido a una falta de mecanismos de seguridad para la protección de tokens y entradas y módulos no seguros
Gravedad CVSS v3.1: ALTA
Última modificación:
01/01/2022

Vulnerabilidad en las bibliotecas zam64.sys, zam32.sys en MalwareFox AntiMalware (CVE-2021-31727)
Fecha de publicación:
17/05/2021
Idioma:
Español
Un control de acceso incorrecto en las bibliotecas zam64.sys, zam32.sys en MalwareFox AntiMalware versión 2.74.0.150, donde 0x80002014, 0x80002018 de IOCTL exponen capacidades de lectura y escritura de disco sin restricciones, respectivamente. Un proceso no privilegiado puede abrir un identificador para \.\ZemanaAntiMalware, registrarse con el controlador usando IOCTL 0x80002010 y enviar estos IOCTL para escalar privilegios sobrescribiendo el sector de arranque o sobrescribiendo el código crítico en el pagefile
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022
Suscribirse a Vulnerabilidades