Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Packagist microweber/microweber (CVE-2022-0278)
Fecha de publicación:
20/01/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Almacenado en Packagist microweber/microweber versiones anteriores a 1.2.11
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/01/2022

Vulnerabilidad en Packagist microweber/microweber (CVE-2022-0277)
Fecha de publicación:
20/01/2022
Idioma:
Español
Un Control de Acceso Inapropiado en Packagist microweber/microweber versiones anteriores a 1.2.11
Gravedad CVSS v3.1: MEDIA
Última modificación:
29/06/2023

Vulnerabilidad en un archivo de configuración automática del proxy (PAC) en la aplicación Code42 (CVE-2021-43269)
Fecha de publicación:
20/01/2022
Idioma:
Español
En la aplicación Code42 versiones anteriores a 8.8.0, una inyección de evaluación permite a un atacante cambiar la configuración del proxy de un dispositivo para usar un archivo de configuración automática del proxy (PAC) malicioso, conllevando a una ejecución de código arbitrario. Esto afecta a Incydr Basic, Advanced, y Gov F1; CrashPlan Cloud; y CrashPlan for Small Business. (Incydr Professional y Enterprise no están afectados)
Gravedad CVSS v3.1: ALTA
Última modificación:
12/07/2022

Vulnerabilidad en la administración de artículos en segundo plano en mblog (CVE-2021-46028)
Fecha de publicación:
20/01/2022
Idioma:
Español
En mblog versiones anteriores a 3.5.0 incluyéndola, se presenta una vulnerabilidad de tipo CSRF en la administración de artículos en segundo plano. El atacante construye una carga de tipo CSRF. Una vez que el administrador hace clic en un enlace malicioso, el artículo será eliminado
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2022

Vulnerabilidad en la función add blog tag en la etiqueta de blog en mysiteforme (CVE-2021-46026)
Fecha de publicación:
20/01/2022
Idioma:
Español
mysiteforme, a partir del 19-12-2022, es vulnerable a un ataque de tipo Cross Site Scripting (XSS) por medio de la función add blog tag en la etiqueta de blog en la administración de blogs en segundo plano
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2025

Vulnerabilidad en el repositorio de GitHub bigbluebutton/bigbluebutton (CVE-2021-4143)
Fecha de publicación:
19/01/2022
Idioma:
Español
Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Genérico en el repositorio de GitHub bigbluebutton/bigbluebutton versiones anteriores a 2.4.0
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2022

Vulnerabilidad en la función add en la lista de pestañas de operaciones en OneBlog (CVE-2021-46025)
Fecha de publicación:
19/01/2022
Idioma:
Español
Se presenta una vulnerabilidad de tipo Cross SIte Scripting (XSS) en OneBlog versiones anteriores a 2.2.8 incluyéndola. por medio de la función add en la lista de pestañas de operaciones en segundo plano
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/01/2022

Vulnerabilidad en los archivos de registro en log4js-node (CVE-2022-21704)
Fecha de publicación:
19/01/2022
Idioma:
Español
log4js-node es un port de log4js a node.js. En las versiones afectadas, los permisos de archivo por defecto para los archivos de registro creados por los anexos file, fileSync y dateFile son world-readable (en unix). Esto podría causar problemas si los archivos de registro contienen información confidencial. Esto afectaría a cualquier usuario que no haya proporcionado sus propios permisos para los archivos por medio del parámetro mode en la configuración. Se aconseja a usuarios a actualizar
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/02/2023

Vulnerabilidad en la administración del blog en mysiteforme (CVE-2021-46027)
Fecha de publicación:
19/01/2022
Idioma:
Español
mysiteforme, a partir del 19-12-2022, presenta una vulnerabilidad de tipo CSRF en la administración del blog en segundo plano. El atacante construye una carga de tipo CSRF. Una vez que el administrador hace clic en un enlace malicioso, es añadida una etiqueta de blog
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/04/2025

Vulnerabilidad en Istio (CVE-2022-21679)
Fecha de publicación:
19/01/2022
Idioma:
Español
Istio es una plataforma abierta para conectar, administrar y asegurar microservicios. En Istio versiones 1.12.0 y 1.12.1 la política de autorización con hosts y notHosts podría ser accidentalmente omitida para la acción ALLOW o rechazada inesperadamente para la acción DENY durante la actualización de 1.11 a 1.12.0/1.12.1. Istio 1.12 soporta los campos hosts y notHosts en la política de autorización con una nueva API Envoy enviada con el plano de datos 1.12. Un error en las versiones 1.12.0 y 1.12.1 usa incorrectamente la nueva API de Envoy con el plano de datos 1.11. Esto causará que los campos hosts y notHosts siempre coincidan independientemente del valor real del encabezado del host cuando sean mezclados el plano de control 1.12.0/1.12.1 y el plano de datos 1.11. Se aconseja a usuarios actualizar o no mezclar el plano de control 1.12.0/1.12.1 con el plano de datos 1.11 si son usados los campos hosts o notHosts en la política de autorización
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
27/01/2022

Vulnerabilidad en Istio (CVE-2022-21701)
Fecha de publicación:
19/01/2022
Idioma:
Español
Istio es una plataforma abierta para conectar, administrar y asegurar microservicios. En las versiones 1.12.0 y 1.12.1 Istio es vulnerable a un ataque de escalada de privilegios. Los usuarios que presentan permiso "CREATE" para los objetos "gateways.gateway.networking.k8s.io" pueden escalar este privilegio para crear otros recursos a los que no tienen acceso, como "Pod". Esta vulnerabilidad afecta sólo a una característica de nivel Alpha, la API de Kubernetes Gateway. No es lo mismo que el tipo de Gateway de Istio (gateways.networking.istio.io), que no es vulnerable. Se recomienda a los usuarios que actualicen para resolver este problema. Los usuarios que no puedan actualizar deberán implementar alguna de las siguientes medidas que evitarán esta vulnerabilidad: Eliminar el CustomResourceDefinition de gateways.gateway.networking.k8s.io, establecer la variable de entorno PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER=true en Istiod, o eliminar los permisos CREATE para los objetos de gateways.gateway.networking.k8s.io de los usuarios que no sean confiables
Gravedad CVSS v3.1: ALTA
Última modificación:
27/01/2022

Vulnerabilidad en los archivos temporales de los usuarios en Ipython (CVE-2022-21699)
Fecha de publicación:
19/01/2022
Idioma:
Español
IPython (Interactive Python) es un shell de comandos para la computación interactiva en múltiples lenguajes de programación, desarrollado originalmente para el lenguaje de programación Python. Las versiones afectadas están sujetas a una vulnerabilidad de ejecución de código arbitrario conseguida al no administrar apropiadamente los archivos temporales de los usuarios. Esta vulnerabilidad permite a un usuario ejecutar código como otro en la misma máquina. Se recomienda a todos los usuarios que actualicen
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades