Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en un archivo DWG en Autodesk Autocad (CVE-2021-27041)
Fecha de publicación:
25/06/2021
Idioma:
Español
Un archivo DWG malicioso puede ser utilizado para escribir más allá del buffer asignado mientras se analizan los archivos DWG. Esta vulnerabilidad puede ser explotada para ejecutar código arbitrario
Gravedad CVSS v3.1: ALTA
Última modificación:
13/05/2022

Vulnerabilidad en una petición POST en el archivo Forms/device_vars_1 en TrippLite SU2200RTXL2Ua (CVE-2020-26801)
Fecha de publicación:
25/06/2021
Idioma:
Español
Se detectó una vulnerabilidad de tipo cross-site scripting (XSS) almacenada en el archivo /Forms/device_vars_1 en TrippLite SU2200RTXL2Ua con versión de firmware 12.04.0055. Esta vulnerabilidad permite a atacantes autenticados obtener información de otros usuarios por medio de una petición POST diseñada
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/02/2024

Vulnerabilidad en la interfaz web en los tokens de autenticación en Fidelis Network and Deception CommandPost (CVE-2021-35048)
Fecha de publicación:
25/06/2021
Idioma:
Español
Una vulnerabilidad en Fidelis Network and Deception CommandPost permite una inyección de SQL no autenticada mediante la interfaz web. La vulnerabilidad podría conllevar a una exposición de los tokens de autenticación en algunas versiones del software Fidelis. La vulnerabilidad está presente en Fidelis Network and Deception versiones anteriores a 9.3.7 y en versión 9.4. Se presentan parches y actualizaciones disponibles para solucionar esta vulnerabilidad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
14/09/2021

Vulnerabilidad en los componentes CommandPost, Collector y Sensor de Fidelis Network and Deception (CVE-2021-35047)
Fecha de publicación:
25/06/2021
Idioma:
Español
Una vulnerabilidad en los componentes CommandPost, Collector y Sensor de Fidelis Network and Deception, permite a un atacante con acceso a nivel de usuario a la CLI inyectar comandos a nivel de root en el componente y en los componentes vecinos Fidelis. La vulnerabilidad está presente en Fidelis Network and Deception versiones anteriores a 9.3.7 y en versión 9.4. Se presentan parches y actualizaciones disponibles para solucionar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2021

Vulnerabilidad en el cambio de contraseña en Zoho ManageEngine ADSelfService Plus (CVE-2021-28958)
Fecha de publicación:
25/06/2021
Idioma:
Español
Zoho ManageEngine ADSelfService Plus versiones hasta 6101, es vulnerable a una Ejecución de Código Remota no autenticada mientras se cambia la contraseña
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
12/07/2022

Vulnerabilidad en la ventana de recepción del dispositivo de escucha en Bluetooth Core Specifications (CVE-2021-31615)
Fecha de publicación:
25/06/2021
Idioma:
Español
Los enlaces de banda base de Bluetooth Low Energy sin cifrar en Bluetooth Core Specifications versiones 4.0 hasta 5.2, pueden permitir a un dispositivo adyacente inyectar un paquete diseñado durante la ventana de recepción del dispositivo de escucha antes de que el dispositivo transmisor inicie su transmisión de paquetes para lograr un estado de tipo MITM completo sin terminar el enlace. Cuando se aplica contra dispositivos que establecen o usan enlaces cifrados, los paquetes diseñados pueden ser usados para terminar un enlace existente, pero no comprometerán la confidencialidad o la integridad del enlace
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en el acceso al CommandPost en Fidelis Network and Deception CommandPost (CVE-2021-35050)
Fecha de publicación:
25/06/2021
Idioma:
Español
Unas credenciales de usuarios almacenadas en un formato recuperable dentro de Fidelis Network and Deception CommandPost. En el evento que un atacante consigue acceso al CommandPost, estos valores podrían ser decodificados y usados para iniciar sesión en la aplicación. La vulnerabilidad está presente en Fidelis Network and Deception versiones anteriores a 9.3.3. Esta vulnerabilidad ha sido abordada en versión 9.3.3 y versiones subsecuentes
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2022

Vulnerabilidad en la interfaz web en una petición HTTP en Fidelis Network and Deception CommandPost (CVE-2021-35049)
Fecha de publicación:
25/06/2021
Idioma:
Español
Una vulnerabilidad en Fidelis Network and Deception CommandPost permite una inyección de comandos autenticados mediante la interfaz web. La vulnerabilidad podría permitir a una petición HTTP especialmente diseñada ejecutar comandos del sistema en el CommandPost y devolver los resultados en una respuesta HTTP en una sesión autenticada. La vulnerabilidad está presente en Fidelis Network and Deception versiones anteriores a 9.3.7 y en versión 9.4. Parches y actualizaciones disponibles para solucionar esta vulnerabilidad
Gravedad CVSS v3.1: ALTA
Última modificación:
12/08/2022

Vulnerabilidad en el campo Name en SAS Environment Manager (CVE-2021-35475)
Fecha de publicación:
25/06/2021
Idioma:
Español
SAS Environment Manager versión 2.5, permite un ataque de tipo XSS mediante el campo Name cuando se crea y edita un servidor. El ataque de tipo XSS se producirá al editar las propiedades de configuración
Gravedad CVSS v3.1: MEDIA
Última modificación:
01/07/2021

Vulnerabilidad en un plugin en la api de administración en Shopware (CVE-2021-32716)
Fecha de publicación:
24/06/2021
Idioma:
Español
Shopware es una plataforma de comercio electrónico de código abierto. En versiones anteriores a 6.4.1.1 la api de administración ha expuesto algunos campos internos ocultos cuando ha sido cargado una asociación con una referencia a muchos. Se recomienda a usuarios actualizar a versión 6.4.1.1. Puede obtener la actualización a 6.4.1.1 regularmente por medio del Auto-Updater o directamente por medio del resumen de descargas. Para las versiones anteriores de 6.1, 6.2 y 6.3, las medidas de seguridad correspondientes también están disponibles por medio de un plugin
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/10/2022

Vulnerabilidad en la URL con hash en Shopware (CVE-2021-32717)
Fecha de publicación:
24/06/2021
Idioma:
Español
Shopware es una plataforma de comercio electrónico de código abierto. En versiones anteriores a 6.4.1.1 los archivos privados son accesibles públicamente con los proveedores de almacenamiento en la nube cuando se conoce la URL con hash. Se recomienda a usuarios que primero cambien su configuración para ajustar la visibilidad correcta de acuerdo con la documentación. La visibilidad debe estar al mismo nivel que "type". Cuando el Almacenamiento es guardado en Amazon AWS recomendamos deshabilitar el acceso público al bucket que contiene los archivos privados: https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html. En caso contrario, actualice a Shopware versión 6.4.1.1 o instale o actualice el plugin de seguridad (https://store.shopware.com/en/detail/index/sArticle/518463/number/Swag136939272659) y ejecute el comando "./bin/console s3:set-visibility" para corregir la visibilidad de sus archivos en la nube
Gravedad CVSS v3.1: ALTA
Última modificación:
25/10/2022

Vulnerabilidad en el Auto-Updater o el resumen de descargas en Shopware (CVE-2021-32712)
Fecha de publicación:
24/06/2021
Idioma:
Español
Shopware es una plataforma de comercio electrónico de código abierto. Unas versiones anteriores a 5.6.10 son vulnerables a la filtración de información del sistema en el manejo de errores. Se recomienda a usuarios actualizar a versión 5.6.10. Puede obtener la actualización a versión 5.6.10 regularmente por medio del Auto-Updater o directamente por medio del resumen de descargas
Gravedad CVSS v3.1: MEDIA
Última modificación:
02/07/2022
Suscribirse a Vulnerabilidades