Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en una respuesta SAML en Hitachi ID Bravura Security Fabric (CVE-2021-3196)
Fecha de publicación:
09/06/2021
Idioma:
Español
Se detectó un problema en Hitachi ID Bravura Security Fabric versiones 11.0.0 hasta 11.1.3, versiones 12.0.0 hasta 12.0.2 y versión 12.1.0. Cuando se usa la administración de identidad federada (autenticando por medio de SAML mediante un proveedor de identidad de terceros), un atacante puede inyectar datos adicionales en una respuesta SAML firmada que ha sido transmitida al proveedor de servicios (ID Bravura Security Fabric). La aplicación comprobada con éxito los valores firmados, pero usa los valores maliciosos sin firmar. Un atacante con acceso con privilegios más bajos a la aplicación puede inyectar el nombre de usuario de un usuario con privilegios altos para hacerse pasar por ese usuario
Gravedad CVSS v3.1: ALTA
Última modificación:
24/06/2021

Vulnerabilidad en las credenciales de autenticación del servidor jmx en Brocade SANnav (CVE-2020-15381)
Fecha de publicación:
09/06/2021
Idioma:
Español
Brocade SANnav versiones anteriores a 2.1.1, contiene una vulnerabilidad de Autenticación Inapropiada que permite la transmisión de texto sin cifrar de las credenciales de autenticación del servidor jmx
Gravedad CVSS v3.1: ALTA
Última modificación:
15/06/2021

Vulnerabilidad en el almacenamiento de archivos en SAP Mobile SDK Certificate Provider (CVE-2021-33669)
Fecha de publicación:
09/06/2021
Idioma:
Español
Bajo determinadas condiciones, SAP Mobile SDK Certificate Provider permite a un atacante local no privilegiado explotar un almacenamiento de archivos temporal no seguro. Para una explotación con exito, es requerida la interacción del usuario de otro usuario y podría conllevar a un impacto completo en la integridad y disponibilidad de la confidencialidad
Gravedad CVSS v3.1: ALTA
Última modificación:
03/05/2022

Vulnerabilidad en sesiones SMTP en SAP NetWeaver AS ABAP (CVE-2021-33663)
Fecha de publicación:
09/06/2021
Idioma:
Español
SAP NetWeaver AS ABAP, versiones - KRNL32NUC - 7.22,7.22EXT, KRNL32UC - 7.22,7.22EXT, KRNL64NUC - 7.22,7.22EXT, 7.49, KRNL64UC - 8.04,7.22,7.22EXT, 7.49,7.53,7.73, KERNEL - 7.22,8.04 , 7.49,7.53,7.73,7.77,7.81,7.82,7.83,7.84, permite a un atacante no autorizado insertar comandos de texto sin cifrar debido a una restricción inapropiada del almacenamiento en búfer de E/S en sesiones SMTP cifradas a través de la red, lo que puede impactar parcialmente la integridad de la aplicación
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/10/2022

Vulnerabilidad en SAP NetWeaver Application Server ABAP (Aplicaciones basadas en Web Dynpro ABAP) (CVE-2021-33664)
Fecha de publicación:
09/06/2021
Idioma:
Español
SAP NetWeaver Application Server ABAP (Aplicaciones basadas en Web Dynpro ABAP), versiones - SAP_UI - 750,752,753,754,755, SAP_BASIS - 702, 731, no codifica suficientemente las entradas controladas por el usuario, resultando una vulnerabilidad de tipo cross-site scripting (XSS)
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2021

Vulnerabilidad en SAP NetWeaver Application Server ABAP (Aplicaciones basadas en SAP GUI para HTML) (CVE-2021-33665)
Fecha de publicación:
09/06/2021
Idioma:
Español
SAP NetWeaver Application Server ABAP (Aplicaciones basadas en SAP GUI para HTML), versiones - KRNL64NUC - 7.49, KRNL64UC - 7.49,7.53, KERNEL - 7.49,7.53,7.77,7.81,7.84, no codifica suficientemente las entradas controladas por el usuario, resultando en una vulnerabilidad de tipo cross-site scripting (XSS)
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/06/2021

Vulnerabilidad en rastreo de MIME en SAP Commerce Cloud (CVE-2021-33666)
Fecha de publicación:
09/06/2021
Idioma:
Español
Cuando SAP Commerce Cloud versión 100 aloja un escaparate de JavaScript, es vulnerable al rastreo de MIME, que, en determinadas circunstancias, podría usarse para facilitar un ataque de tipo XSS o la proliferación de malware
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/06/2021

Vulnerabilidad en un archivo XML en SAP NetWeaver AS para JAVA (CVE-2021-27635)
Fecha de publicación:
09/06/2021
Idioma:
Español
SAP NetWeaver AS para JAVA, versiones - 7.20, 7.30, 7.31, 7.40, 7.50, permite a un atacante autenticado como administrador conectarse a través de una red y enviar un archivo XML especialmente diseñado en la aplicación debido a que falta la comprobación XML; esta vulnerabilidad habilita al atacante comprometer completamente la confidencialidad al permitirles leer cualquier archivo en el sistema de archivos o comprometer completamente la disponibilidad al causar que el sistema se bloquee. El ataque no puede ser usado para cambiar ningún dato, de modo que no se comprometa la integridad
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/11/2021

Vulnerabilidad en SAP Enable Now (SAP Workforce Performance Builder - Manager) (CVE-2021-27637)
Fecha de publicación:
09/06/2021
Idioma:
Español
Bajo determinadas condiciones, SAP Enable Now (SAP Workforce Performance Builder - Manager), versiones - 1.0, 10 permite a un atacante acceder a información que de otro modo estaría restringida y conllevaría a una divulgación de información
Gravedad CVSS v3.1: MEDIA
Última modificación:
12/07/2022

Vulnerabilidad en el sistema de archivos en SAP Business One (CVE-2021-33662)
Fecha de publicación:
09/06/2021
Idioma:
Español
En determinadas condiciones, la instalación de SAP Business One, versión 10.0, divulga información confidencial en el sistema de archivos, permitiendo un atacante acceder a información que de otro modo estaría restringida
Gravedad CVSS v3.1: MEDIA
Última modificación:
28/06/2022

Vulnerabilidad en el método ThCpicDtCreate() en SAP NetWeaver AS para ABAP (RFC Gateway) (CVE-2021-27634)
Fecha de publicación:
09/06/2021
Idioma:
Español
SAP NetWeaver AS para ABAP (RFC Gateway), versiones - KRNL32NUC - 7.22,7.22EXT, KRNL64NUC - 7.22,7.22EXT, 7.49, KRNL64UC - 8.04,7.22,7.22EXT, 7.49,7.53,7.73, KERNEL - 7.22,8.04,7.49 , 7.53,7.73,7.77,7.81,7.82,7.83, permite a un atacante no autenticado sin conocimiento específico del sistema enviar un paquete especialmente diseñado a través de una red que desencadenará un error interno en el sistema debido a una comprobación inapropiada de entrada en el método ThCpicDtCreate() causando el bloqueo del sistema y hacer que no esté disponible. En este ataque, ningún dato del sistema puede ser visualizado o modificado
Gravedad CVSS v3.1: MEDIA
Última modificación:
31/10/2022

Vulnerabilidad en método ThCPIC() en SAP NetWeaver AS para ABAP (RFC Gateway) (CVE-2021-27633)
Fecha de publicación:
09/06/2021
Idioma:
Español
SAP NetWeaver AS para ABAP (RFC Gateway), versiones - KRNL32NUC - 7.22,7.22EXT, KRNL64NUC - 7.22,7.22EXT, 7.49, KRNL64UC - 8.04,7.22,7.22EXT, 7.49,7.53,7.73, KERNEL - 7.22,8.04,7.49 , 7.53,7.73,7.77,7.81,7.82,7.83, permite a un atacante no autenticado sin conocimiento específico del sistema enviar un paquete especialmente diseñado a través de una red que desencadenará un error interno en el sistema debido a una comprobación inapropiada de entrada en el método ThCPIC() causando el bloqueo del sistema y hacer que no esté disponible. En este ataque, ningún dato del sistema puede ser visualizado o modificado
Gravedad CVSS v3.1: ALTA
Última modificación:
31/10/2022
Suscribirse a Vulnerabilidades