Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo /edit_group.php en el parámetro POST parent_id en phpGACL (CVE-2020-13568)

Fecha de publicación:
13/04/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL en phpGACL versión 3.3.7. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. Un atacante puede enviar una petición HTTP para desencadenar esta vulnerabilidad en admin el archivo /edit_group.php, cuando la acción del parámetro POST es "Submit", el parámetro POST parent_id conlleva a una inyección SQL
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

CVE-2021-28421

Fecha de publicación:
13/04/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2021-21417. Reason: This candidate is a duplicate of CVE-2021-21417. Notes: All CVE users should reference CVE-2021-21417 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023

Vulnerabilidad en el encabezado Authorization para el endpoint /v2/devices/add en la aplicación ZEROF Expert para dispositivos móviles (CVE-2021-30176)

Fecha de publicación:
13/04/2021
Idioma:
Español
La aplicación ZEROF Expert versión pro/2.0 para dispositivos móviles permite una inyección SQL por medio del encabezado Authorization para el endpoint /v2/devices/add
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/04/2021

Vulnerabilidad en el endpoint /HandleEvent en ZEROF Web Server (CVE-2021-30175)

Fecha de publicación:
13/04/2021
Idioma:
Español
ZEROF Web Server versión 1.0 (Abril de 2021) permite una inyección SQL por medio del endpoint /HandleEvent para la página de inicio de sesión
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/04/2021

Vulnerabilidad en Micro Focus Operations Agent (CVE-2021-22505)

Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de escalada de privilegios en Micro Focus Operations Agent afecta a versiones 12.0x, 12.10, 12.11, 12.12, 12.14 y 12.15. La vulnerabilidad podría ser explotada para escalar privilegios y ejecutar código bajo la cuenta del Operations Agent
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1 (CVE-2021-25253)

Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de control de acceso inapropiado en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1, en un recurso usado por el servicio podría permitir a un atacante local escalar privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en un archivo confidencial en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1 (CVE-2021-25250)

Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de control de acceso inapropiado en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1, en un archivo confidencial podría permitir a un atacante local escalar los privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en Trend Micro Password Manager (CVE-2021-28647)

Fecha de publicación:
13/04/2021
Idioma:
Español
Trend Micro Password Manager versión 5 (Consumer) es vulnerable a una vulnerabilidad de secuestro DLL que podría permitir a un atacante inyectar un archivo DLL malicioso durante el progreso de la instalación y podría ejecutar un programa malicioso cada vez que un usuario instala un programa
Gravedad CVSS v3.1: ALTA
Última modificación:
14/04/2021

Vulnerabilidad en asignación de permisos en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1 (CVE-2021-28645)

Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de asignación de permisos incorrecta en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1, podría permitir a un atacante local escalar los privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
14/04/2021

Vulnerabilidad en archivo de registro en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1 (CVE-2021-28646)

Fecha de publicación:
13/04/2021
Idioma:
Español
Una vulnerabilidad de permisos de archivo no segura en Trend Micro Apex One, Apex One as a Service and OfficeScan XG SP1, podría permitir a un atacante local tomar el control de un archivo de registro específico en las instalaciones afectadas
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/04/2021

Vulnerabilidad en el método FileNameUtils.normalize en Apache Commons IO (CVE-2021-29425)

Fecha de publicación:
13/04/2021
Idioma:
Español
En Apache Commons IO versiones anteriores a 2.7, Cuando se invoca el método FileNameUtils.normalize con una cadena de entrada inapropiada, como "//../foo" o "\\..\ foo", el resultado sería el mismo valor, por lo que posiblemente proporcionar acceso a archivos en el directorio principal, pero no más arriba (por lo tanto, salto de ruta "limited"), si el código de llamada usara el resultado para construir un valor de ruta
Gravedad CVSS v3.1: MEDIA
Última modificación:
07/11/2023

Vulnerabilidad en la función ReplicationHandler en un parámetro "masterUrl" en Apache Solr (CVE-2021-27905)

Fecha de publicación:
13/04/2021
Idioma:
Español
La función ReplicationHandler (normalmente registrado en "/replication" bajo un core Solr) en Apache Solr presenta un parámetro "masterUrl" (también se conoce como "leaderUrl") que es usada para designar otro ReplicationHandler en otro core Solr para replicar datos de índice en el core local . Para impedir una vulnerabilidad de SSRF, Solr debería comparar estos parámetros con una configuración similar que usa para el parámetro "shards". Antes de que fuera corregido este bug, no era así. Este problema afecta esencialmente a todas las versiones de Solr anteriores a que fuese corregido en la versión 8.8.2
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023