Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en aplicaciones en pendingIntent en Create Movie de Android (CVE-2021-25357)

Fecha de publicación:
09/04/2021
Idioma:
Español
Una vulnerabilidad de secuestro pendingIntent en Create Movie versiones anteriores a SMR APR-2021 Release 1 en Android O(8.x) y P(9.0), versiones 3.4.81.1 en Android Q(10,0) y versiones 3.6.80.7 en Android R(11.0 ), permite a aplicaciones no privilegiadas acceder a la información de contacto
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/04/2022

Vulnerabilidad en aplicaciones en la API en softsimd (CVE-2021-25365)

Fecha de publicación:
09/04/2021
Idioma:
Español
Un control de excepción inapropiado en softsimd anterior a versión SMR APR-2021 Release 1, permite a aplicaciones no privilegiadas acceder a la API en softsimd
Gravedad CVSS v3.1: ALTA
Última modificación:
26/04/2022

Vulnerabilidad en aplicaciones en el control de acceso en stickerCenter (CVE-2021-25361)

Fecha de publicación:
09/04/2021
Idioma:
Español
Una vulnerabilidad de control de acceso inapropiado en stickerCenter anterior a versión SMR APR-2021 Release 1, permite a atacantes locales leer o escribir archivos arbitrarios del proceso del sistema por medio de aplicaciones no confiables
Gravedad CVSS v3.1: ALTA
Última modificación:
23/09/2022

Vulnerabilidad en el proceso mediaextractor en la biblioteca libswmfextractor (CVE-2021-25360)

Fecha de publicación:
09/04/2021
Idioma:
Español
Una vulnerabilidad de comprobación inapropiada de la entrada en la biblioteca libswmfextractor anterior a versión SMR APR-2021 Release 1, permite a atacantes ejecutar código arbitrario en el proceso mediaextractor
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
23/09/2022

Vulnerabilidad en pendingIntent en Secure Folder (CVE-2021-25364)

Fecha de publicación:
09/04/2021
Idioma:
Español
Una vulnerabilidad de secuestro pendingIntent en Secure Folder anterior a versión SMR APR-2021 Release 1, permite a aplicaciones no privilegiadas acceder a la información de contacto
Gravedad CVSS v3.1: BAJA
Última modificación:
25/10/2022

Vulnerabilidad en la carga de un archivo de activos XML en ManageEngine ServiceDesk Plus (CVE-2021-20080)

Fecha de publicación:
09/04/2021
Idioma:
Español
Un saneamiento de salida insuficiente en ManageEngine ServiceDesk Plus versiones anteriores a 11200 y ManageEngine AssetExplorer versiones anteriores a 6800, permite a un atacante remoto no autenticado conducir ataques de tipo cross-site scripting (XSS) persistente al cargar un archivo de activos XML diseñado
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/04/2021

Vulnerabilidad en un puerto abierto por defecto en ZXA10 C300M de ZTE (CVE-2021-21728)

Fecha de publicación:
09/04/2021
Idioma:
Español
Un producto ZTE presenta una vulnerabilidad de error de configuración. Debido a que un determinado puerto está abierto por defecto, un atacante puede consumir recursos de procesamiento del sistema al descargar una gran cantidad de paquetes en el puerto, y explotar con éxito esta vulnerabilidad podría reducir las capacidades de procesamiento del sistema. Esto afecta: ZXA10 C300M todas las versiones hasta V4.3P8
Gravedad CVSS v3.1: MEDIA
Última modificación:
20/04/2021

Vulnerabilidad en el envío de una petición HTTP en SonicWall Email Security (CVE-2021-20021)

Fecha de publicación:
09/04/2021
Idioma:
Español
Una vulnerabilidad en SonicWall Email Security versión 10.0.9.x, permite a un atacante crear una cuenta administrativa mediante el envío de una petición HTTP diseñada en el host remoto
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
10/11/2025

Vulnerabilidad en el archivo "~/.netrc" en un mecanismo de autenticación en Vela (CVE-2021-21432)

Fecha de publicación:
09/04/2021
Idioma:
Español
Vela es un framework de Pipeline Automation (CI/CD) construido sobre la tecnología de contenedores de Linux escrita en Golang. Un mecanismo de autenticación agregado en versión 0.7.0, permite a algunos usuarios maliciosos obtener secretos usando las credenciales inyectadas dentro del archivo "~/.netrc". Consulte el Aviso de Seguridad de GitHub al que se hace referencia para obtener detalles completos. Esto es corregido en versión 0.7.5
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/08/2022

Vulnerabilidad en Discord Recon Server (CVE-2021-21433)

Fecha de publicación:
09/04/2021
Idioma:
Español
Discord Recon Server, es un bot que te permite realizar tu proceso de reconocimiento desde tu Discord. Una ejecución de código remota en versión 0.0.1, permitiría a usuarios remotos ejecutar comandos en el servidor, resultando en serios problemas. Este fallo es parcheado en versión 0.0.2
Gravedad CVSS v3.1: ALTA
Última modificación:
12/01/2024

Vulnerabilidad en la carga de un archivo en el host en SonicWall Email Security (CVE-2021-20022)

Fecha de publicación:
09/04/2021
Idioma:
Español
SonicWall Email Security versión 10.0.9.x, contiene una vulnerabilidad que permite a un atacante autenticado posteriormente cargar un archivo arbitrario en el host remoto
Gravedad CVSS v3.1: ALTA
Última modificación:
10/11/2025

Vulnerabilidad en la columna "payment gateway" en la pestaña de transacciones en subrion CMS (CVE-2020-23761)

Fecha de publicación:
09/04/2021
Idioma:
Español
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en subrion CMS versiones anteriores a 4.2.1 incluyéndola, permite a atacantes remotos ejecutar un script web arbitrario por medio de la columna "payment gateway" en la pestaña de transacciones
Gravedad CVSS v3.1: MEDIA
Última modificación:
13/04/2021