Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la funcionalidad upload en InvoicePlane (CVE-2021-29022)

Fecha de publicación:
10/05/2021
Idioma:
Español
En InvoicePlane versión 1.5.11, la funcionalidad upload revela la ruta completa del directorio de carga de archivos
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/05/2021

Vulnerabilidad en la página ''patientlist.do" en el parámetro findPersonID en la aplicación OpenClinic GA (CVE-2020-27229)

Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una cantidad de vulnerabilidades de inyección SQL explotables en la página "patientslist.do" de la aplicación OpenClinic GA versión 5.173.3. El parámetro findPersonID en la página ''patientlist.do" es vulnerable a una inyección SQL autenticada. Un atacante puede ejecutar una petición HTTP autenticada para activar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
28/04/2022

Vulnerabilidad en la página "quickFile.jsp" en una petición HTTP en OpenClinic GA (CVE-2020-27226)

Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una vulnerabilidad de inyección SQL explotable en la página "quickFile.jsp" de OpenClinic GA versión 5.173.3. Una petición HTTP especialmente diseñada puede conllevar una inyección SQL. Un atacante puede realizar una petición HTTP autenticada para activar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2022

Vulnerabilidad en la página ''patientlist.do" en el parámetro findSector en la aplicación OpenClinic GA (CVE-2020-27230)

Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una cantidad de vulnerabilidades de inyección SQL explotables en la página "patientslist.do" de la aplicación OpenClinic GA versión 5.173.3. El parámetro findSector en la página ''patientlist.do" es vulnerable a una inyección SQL autenticada. Un atacante puede ejecutar una petición HTTP autenticada para activar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2022

Vulnerabilidad en la página ''patientlist.do" en el parámetro findDistrict en la aplicación OpenClinic GA (CVE-2020-27231)

Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una cantidad de vulnerabilidades de inyección SQL explotables en la página "patientslist.do" de la aplicación OpenClinic GA versión 5.173.3. El parámetro findDistrict en la página ''patientlist.do" es vulnerable a una inyección SQL autenticada. Un atacante puede ejecutar una petición HTTP autenticada para activar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
29/04/2022

Vulnerabilidad en la configuración de una plantilla especifica en WarnSystem (CVE-2021-29502)

Fecha de publicación:
10/05/2021
Idioma:
Español
WarnSystem es un engranaje (plugin) para el bot Red discord. Se ha encontrado una vulnerabilidad en el código que permite a cualquier usuario acceder a información confidencial al configurar una plantilla específica que no está debidamente saneada. El problema ha sido parcheado en la versión 1.3.18. Los usuarios deben actualizar y escribir "!warnsysteminfo" para comprobar que su versión sea 1.3.18 o superior. Como solución alternativa, los usuarios pueden descargar el engranaje WarnSystem o deshabilitar el comando "!warnset description" globalmente
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2022

Vulnerabilidad en admin.php?c=admin&f=save en PHPOK (CVE-2020-19199)

Fecha de publicación:
10/05/2021
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en PHPOK versión 5.2.060, por medio de admin.php?c=admin&f=save, que podría permitir a un usuario malicioso remoto ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
17/06/2026

Vulnerabilidad en la Interfaz de Usuario Web en IBM Cloud Pak for Security (CP4S) (CVE-2021-20577)

Fecha de publicación:
10/05/2021
Idioma:
Español
IBM Cloud Pak for Security (CP4S) versiones 1.5.0.0 y 1.5.0.1, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 199281
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2021

Vulnerabilidad en la Interfaz de Usuario Web en IBM Control Desk (CVE-2021-20559)

Fecha de publicación:
10/05/2021
Idioma:
Español
IBM Control Desk versiones 7.6.1.2 y 7.6.1.3, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 199228
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/05/2021

Vulnerabilidad en mecanismos de autorización en IBM Cloud Pak for Security (CP4S) (CVE-2021-20538)

Fecha de publicación:
10/05/2021
Idioma:
Español
IBM Cloud Pak for Security (CP4S) versiones 1.5.0.0 y 1.5.0.1, podría permitir a un usuario obtener información confidencial o llevar a cabo acciones a las que no debería tener acceso debido a mecanismos de autorización incorrectos. IBM X-Force ID: 198919
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/05/2021

Vulnerabilidad en el engranaje en Ticketer (CVE-2021-29501)

Fecha de publicación:
10/05/2021
Idioma:
Español
Ticketer es un engranaje del sistema (plugin) de tickets basado en comandos para el bot red discord. Una vulnerabilidad permite a usuarios de discord exponer información confidencial que ha sido encontrada en el Ticketer cog. Actualice a la versión 1.0.1 lo antes posible. Como solución alternativa, los usuarios pueden descargar el engranaje de ticketer cog para deshabilitar el código explotable
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2022

CVE-2021-31877

Fecha de publicación:
10/05/2021
Idioma:
Inglés
*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA due to lack of a reference providing provenance. Notes: none
Gravedad: Pendiente de análisis
Última modificación:
07/11/2023