Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en procesamiento de archivos .DXF y .DWG en Open Design Alliance Drawings SDK (CVE-2021-25176)

Fecha de publicación:
18/01/2021
Idioma:
Español
Se detectó un problema en el SDK de dibujos de Open Design Alliance anterior a la versión 2021.11. Existe una derivación de puntero nulo al renderizar archivos .DXF y .DWG malformados. Esto puede permitir a los atacantes provocar un fallo, permitiendo potencialmente un ataque de denegación de servicio (Bloqueo, Salida o Reinicio)
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2022

Vulnerabilidad en procesamiento de archivos .DXF y .DWG en Open Design Alliance Drawings SDK (CVE-2021-25175)

Fecha de publicación:
18/01/2021
Idioma:
Español
Se detectó un problema en el SDK de dibujos de Open Design Alliance anterior a la versión 2021.11. Existe un problema de conversión de tipos al renderizar archivos .DXF y .DWG malformados. Esto puede permitir que los atacantes provoquen un fallo, permitiendo potencialmente un ataque de denegación de servicio (Bloqueo, Salida o Reinicio)
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2022

Vulnerabilidad en los archivos DGN en Open Design Alliance Drawings SDK (CVE-2021-25174)

Fecha de publicación:
18/01/2021
Idioma:
Español
Se detectó un problema en Open Design Alliance Drawings SDK versiones anteriores a 2021.12. Se presenta una vulnerabilidad de corrupción de la memoria al leer archivos DGN malformados. Puede permitir a los atacantes causar un bloqueo, permitiendo potencialmente un ataque de denegación de servicio (Bloqueo, Salida o Reinicio)
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2022

Vulnerabilidad en los archivos DGN en Open Design Alliance Drawings SDK (CVE-2021-25173)

Fecha de publicación:
18/01/2021
Idioma:
Español
Se detectó un problema en Open Design Alliance Drawings SDK versiones anteriores a 2021.12. Se presenta una vulnerabilidad de asignación de la memoria con un tamaño excesivo al leer archivos DGN malformados, lo que permite a los atacantes causar un bloqueo, permitiendo potencialmente un ataque de denegación de servicio (Bloqueo, Salida o Reinicio)
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2022

Vulnerabilidad en la operación de recuperación con archivos .DXF y .DWG en Open Design Alliance Drawings SDK (CVE-2021-25178)

Fecha de publicación:
18/01/2021
Idioma:
Español
Se detectó un problema en Open Design Alliance Drawings SDK versiones anteriores a 2021.11. Se presenta una vulnerabilidad de desbordamiento del búfer en la región stack de la memoria cuando la operación de recuperación se ejecuta con archivos .DXF y .DWG malformados. Esto puede permitir a los atacantes causar un bloqueo permitiendo potencialmente un ataque de denegación de servicio (bloqueo, salida o reinicio) o una posible ejecución de código
Gravedad CVSS v3.1: ALTA
Última modificación:
08/04/2022

Vulnerabilidad en OpenCATS (CVE-2021-25295)

Fecha de publicación:
18/01/2021
Idioma:
Español
OpenCATS versiones hasta 0.9.5-3, presenta múltiples problemas de tipo Cross-site Scripting (XSS)
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/01/2021

Vulnerabilidad en unas peticiones index.php?m=activity en la biblioteca lib/DataGrid.php en el parámetro parametersactivity:ActivityDataGrid en OpenCATS (CVE-2021-25294)

Fecha de publicación:
18/01/2021
Idioma:
Español
OpenCATS versiones hasta 0.9.5-3, deserializa de manera no segura unas peticiones index.php?m=activity, conllevando a una ejecución de código remota. Esto ocurre porque la biblioteca lib/DataGrid.php llama sin serializar para el parámetro parametersactivity:ActivityDataGrid. La cadena de explotación de la inyección de objetos PHP puede explotar un método mágico __destruct en guzzlehttp
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
26/01/2021

Vulnerabilidad en el nombre de archivo Settings_DSL-N14U-B1.trx en los dispositivos ASUS DSL-N14U-B1 (CVE-2021-3166)

Fecha de publicación:
18/01/2021
Idioma:
Español
Se detectó un problema en los dispositivos ASUS DSL-N14U-B1 versión 1.1.2.3_805. Un atacante puede cargar contenido de archivo arbitrario como una actualización de firmware cuando el nombre de archivo Settings_DSL-N14U-B1.trx es usado. Una vez que es cargado este archivo, unas medidas de cierre en una amplia gama de servicios son desencadenadas como si fuera una actualización real, resultando en una interrupción persistente de esos servicios
Gravedad CVSS v3.1: ALTA
Última modificación:
27/01/2021

Vulnerabilidad en Atlassian Fisheye & Crucible (CVE-2020-29446)

Fecha de publicación:
18/01/2021
Idioma:
Español
Las versiones afectadas de Atlassian Fisheye & Crucible permiten a los atacantes remotos navegar por los archivos locales a través de una vulnerabilidad de Insecure Direct Object References (IDOR) en el directorio WEB-INF. Las versiones afectadas son anteriores a la versión 4.8.5
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en una subcadena constructor.constructor en el campo username en la página /Account/Login en Quali CloudShell (CVE-2020-15864)

Fecha de publicación:
17/01/2021
Idioma:
Español
Se detectó un problema en Quali CloudShell versión 9.3. Una vulnerabilidad de tipo XSS en la página de inicio de sesión permite a un atacante crear una URL, con una subcadena constructor.constructor en el campo username, que ejecuta una carga útil cuando el usuario visita la página /Account/Login
Gravedad CVSS v3.1: MEDIA
Última modificación:
17/06/2026

Vulnerabilidad en una petición directa a /session/list/allActiveSession en Netsia SEBA+ (CVE-2021-3113)

Fecha de publicación:
17/01/2021
Idioma:
Español
Netsia SEBA+ versiones hasta 0.16.1 build 70-e669dcd7, permite a atacantes remotos detectar cookies de sesión por medio de una petición directa a /session/list/allActiveSession. Por ejemplo, el atacante puede detectar la cookie del administrador si la cuenta de administrador ha iniciado sesión cuando ocurre la petición allActiveSession, y luego puede usar esa cookie inmediatamente para el acceso de administrador
Gravedad CVSS v3.1: ALTA
Última modificación:
28/06/2022

Vulnerabilidad en unas conexiones XPC en el demonio de inicio de Malwarebytes en macOS (CVE-2020-25533)

Fecha de publicación:
15/01/2021
Idioma:
Español
Se detectó un problema en Malwarebytes versiones anteriores a 4.0 en macOS. Una aplicación maliciosa pudo llevar a cabo una acción privilegiada dentro del demonio de inicio de Malwarebytes. El servicio privilegiado comprobó inapropiadamente unas conexiones XPC al confiar en el PID en lugar del token de auditoría. Un atacante puede crear una situación en la que es usado el mismo PID para ejecutar dos programas diferentes en momentos diferentes, al aprovechar una condición de carrera durante un uso de posix_spawn diseñado
Gravedad CVSS v3.1: ALTA
Última modificación:
26/01/2021